FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している

FBI: Ransomware Attacks Exploit Financial Business Events

2021/11/02 SecurityWeek — 先週に FBI は、ランサムウェアの実行者が、企業の合併/買収や株式評価に関する情報を利用して恐喝攻撃を仕掛けていることについて、業界全体の注意を喚起する通知を発出した。ランサムウェアの実行者が、被害者への攻撃を開始する前に、公開されている情報や重要な未公開データを利用して、広範な調査を行うことは周知のとおりである。

被害者が身代金の支払いを拒否した場合には、攻撃者は収集した情報を公開すると脅し、被害者を恐喝しようとする。FBI は、ランサムウェアの攻撃者は、被害者が身代金を支払うきっかけを作るために、一刻を争う重要な金融イベントに関わる企業を標的にしているとも述べている。

FBI によると、大量に配布されるトロイの木馬型マルウェアを搭載した、アクセス・ブローカーに感染した企業のリストから、ランサムウェアの被害者は慎重に選ばれることが多いとのことだ。

こうした選択は、最初の偵察に基づいて行われる。この偵察は、公開されていない情報を特定し、恐喝の段階で利用するために行われる。FBI の勧告によると、「発表/合併/買収などの、被害者の株値に影響を与える可能性のあるイベントが間近に迫っている企業を、ランサムウェア実行者は標的に選ぶことが多く、アクセスが確立されている場合には、恐喝のスケジュールなどが調整される」とのことだ。

また FBI は、個人情報を NASDAQ 証券取引所に流出させ、被害者の株価に影響を与えると脅迫した事件についても警告している。2020年3月から7月にかけて、米国の上場企業3社が、活発な M&A 交渉中にランサムウェアの標的となった。

ランサムウェア Defray777/RansomEXX の感染につながることが多い、マルウェアPyxie RAT を2020年11月に分析したところ、敵対者が被害者のネットワーク上で、株価に関連するキーワードを検索していたことが判明した。2021年4月には、ランサムウェア Darkside の運営者が、被害者の株価に悪影響を与えることに関心を示すメッセージを、ブログサイトに掲載していたとされる。

FBI は、データの安全のためのオフライン・バックアップの実施、および、ソフトウェアの遅滞なき更新、マルウェア対策ソフトウェアの採用、最小特権方式とネットワーク・セグメンテーションの実施、二要素認証の使用、安全なネットワークを介した接続を推奨している。

ターゲットにされた企業は、まさか、このタイミングで、と思うことでしょう。でも、攻撃を仕掛ける側としては、千載一遇のチャンスであり、狙いすました一撃を放ってくるはずです。サイバー空間の総会屋というべき、新しい手口を持つランサムウェアですね。

%d bloggers like this: