FBI 警告:Ranzy Locker ランサムウェアにより米国産業分野の 30社に被害が

FBI: Ranzy Locker ransomware hit at least 30 US companies this year

2021/10/26 BleepingComputer — 月曜日に FBI は、ランサムウェア Ranzy Locker のオペレーターが、今年に入ってから各種産業分野の少なくとも30社の米国企業に危害を加えていたと発表した。FBI は、TLP:WHITE の FLASH Alart で、「Ranzy Locker ランサムウェアを使用する未知のサイバー犯罪者が、2021年7月の時点で、30社以上の米国企業を危険にさらしていた。

被害者としては、重要な製造業部門の建設サブセクターや、政府施設部門の学術サブセクター、情報技術部門、輸送部門 などが含まれる」と発表している。

この FLASH Alart は、CISA との連携により発行されたものであり、この種のランサムウェアによる攻撃の試みを、セキュリティ担当者が検知/防御するための情報提供を目的としている。

被害者が FBI に報告したところによると、Ranzy Locker オペレーターが RDP の認証情報を引き出し、ネットワークに侵入したとのことだ。最近では、攻撃者が脆弱な Microsoft Exchange サーバーを悪用するケースや、フィッシング攻撃で盗み出した認証情報を使用するケースも報告されている。

Ako ランサムウェアのリブランド

Ranzy Locker のオペレーターは、被害者のネットワークに侵入すると、企業ネットワーク上のシステムを暗号化する前に、暗号化されていないファイルを盗み出すが、これは他の多くのランサムウェア・ギャングが用いている戦術でもある。

これらのファイルには、顧客情報/個人識別情報 (PII) データ/財務記録などの機密情報が含まれており、被害者に身代金を支払わせてファイルを返還し、データをネット上に流出させないための、取引の手段として利用される。脅迫された被害者が、このグループの Tor 支払いサイトにアクセスすると、Locked by Ranzy Locker というメッセージと、脅威アクターと交渉するためのライブチャット画面が表示される。

また、ランサムウェアのオペレーターは、この「サービス」の一環として、被害者に3つのファイルを無料で復号化させ、復号化装置がファイルを復元できることを証明する。そして、身代金を支払わない被害者は、Ranzy Locker のデータリーク・サイト (Ranzy Leak) で、盗み出された文書を公開される。

Ranzy Locker のデータ公開サイトで使用されているドメインは、過去に Ako ランサムウェアが使用していたものであり、Ako から ThunderX へ、そして Ranzy Locker へと、そのブランドは変更されている。

ThunderX の運用は、2020年8月末に始まっている。しかし、その立ち上げから1カ月も経たないうちに、Tesorion が暗号化の弱点を発見し、無料の復号器を作成した。その後すぐに、サイバー犯罪グループはバグを修正し、Ranzy Locker の名前でランサムウェアの新バージョンをリリースした。

なお、FBI は、Ranzy Locker 攻撃で使用される戦術に関する技術的な詳細および、推奨される緩和策、さらには侵害の指標や、そのような試みを検出して防御するために使用できる YARA ルールなども提供している。

2021年4月に始まった、このブログでは、Ranzy Locker も Ako も初登場です。文中には、重要な製造業部門の建設サブセクターや、政府施設部門の学術サブセクター、情報技術部門、輸送部門などの、約30社が危険に晒されていると書かれているので、かなり深刻な状況なのでしょう。FBI で検索すると、「FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有」、「FBI/CISA/NSA 警告:Conti ランサムウェア攻撃が猛威を奮っている」などが見つかりました。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: