欧州最大の家電量販店 MediaMarkt が Hive ランサムウェアに攻撃されている

MediaMarkt hit by Hive ransomware, initial $240 million ransom

2021/11/08 BleepingComputer — 家電量販店大手の MediaMarkt が ランサムウェア Hive に感染し、イニシャルの身代金として $240 million を要求され、また、オランダとドイツで IT システムが停止したことで、店舗運営に支障をきたしていると判明した。MediaMarkt は、ヨーロッパ最大の家電量販店であり、13カ国に 1,000以上の店舗を展開している。同社は、約53,000人の従業員を擁し、総売上高は €20.8 billion に達している。

ランサムウェア Hive による攻撃

日曜日の深夜から月曜日の朝にかけて、MediaMarkt はランサムウェアの攻撃を受け、サーバーやワークステーションが暗号化され、攻撃の拡大を防ぐために IT システムの停止に追い込まれた。BleepingComputer の調べによると、この攻撃はオランダを中心にヨーロッパ中の多数の小売店に影響を与えている。

オンラインでの販売は通常通り行われているが、レジでのクレジットカードの受け付けやレシートの印刷ができない状態になっている。また、システムが停止しているため、過去の購入履歴を調べることができず、返品ができなくなっている。地元メディアによると、MediaMarkt の社内コミュニケーションは暗号化されたシステムを避け、レジをネットワークから切り離すよう従業員に指示しているとのことだ。

Twitter に投稿された疑惑の内部通信スクリーンショットでは、今回の攻撃で 3,100台のサーバーが影響を受けたとされている。しかし、BleepingComputer では、現時点において、これらの発言を裏付けることができなかった。

BleepingComputer は、今回の攻撃の背後にはランサムウェア Hive がいることを確認している。暗号化されたファイルの復号機を受け取るために、イニシャルで $240 million という巨額の身代金が要求されているが、それは現実的ではないと思われる。

ランサムウェア・ギャングたちは、交渉の余地を残すためにイニシャルで多額の身代金を要求するのが一般的であり、通常は要求額の何分の一かを受け取ることになる。そして、MediaMarkt への攻撃でも、かなり低い金額に減額されたとのことだ。

今回の攻撃で、暗号化されていないデータの窃取は不明であるが、Hive ランサムウェアは、身代金が支払われない場合に、データリーク・サイト HiveLeaks で盗み出したファイルを公開することで知られている。

今回の攻撃について MediaMarkt に問い合わせたところ、以下のような回答があった。

MediaMarktSaturn Retail Group と国内組織が、サイバー攻撃の対象になった。同社は直ちに関係当局に通報し、影響を受けたシステムを特定し、発生した損害を可能な限り迅速に修復するために全力で取り組んでいる。文房具店では、現在、一部のサービスへのアクセスが制限されている可能性がある。MediaMarktSaturn は、すべての販売チャネルを通じて顧客にサービスを提供しており、可能な限り迅速に、すべてのサービスが制限なく再び利用できるよう、集中して取り組んでいる。当社は、この件に関するさらなる進展について情報を提供していく ー MediaMarkt

ランサムウェア Hive とは?

Hive ランサムウェアは、2021年6月に登場した比較的新しい組織体であり、マルウェアを混入したフィッシング・キャンペーンを通じて、組織に侵入することが知られている。ネットワークへの侵入に成功すると横方向へと拡散しながら、暗号化する前のファイルを盗み出し、恐喝の要求に使用する。そして、Windows ドメイン・コントローラの管理者権限を取得すると、ネットワーク全体にランサムウェアを展開し、すべてのデバイスを暗号化する。

このランサムウェアは、被害者によるデータ回復を阻止するために、バックアップを探し出して削除するようだ。また、Hive は、仮想マシンのホストとして使用されている、Linux や FreeBSD のサーバを暗号化することでも知られている。

医療機関/老人ホーム/政府機関などの、重要なサービス避けるランサムウェアとは異なり、Hive ランサムウェアはターゲットの選択について、なにも気にしていないようだ。この8月に、Hive ランサムウェアが、非営利団体である Memorial Health System を攻撃した際には、医療スタッフは紙のカルテでの作業を余儀なくされ、予定されていた手術が中断されている。

先日に「Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加」という記事をアップし、Linux と FreeBSD に関しては、それほど危機的な状況ではないと理解しました。しかし、先行する Windows 系のランサムウェアは、それなりの攻撃力を持っているようで、このような被害が生じています。それにしても、イニシャルで $240 million という身代金は、かなりふっかけている感じですね。しっかりと稼ごうとするランサムウェアなのでしょう。

%d bloggers like this: