グローバル IT SP の Inetum がランサムウェア攻撃に遭ったが被害は限定的

Global IT services provider Inetum hit by ransomware attack

2021/12/24 BleepingComputer — クリスマス休暇まで1週間を切ったところで、フランスの IT サービス企業である Inetum Group がランサムウェア攻撃を受けたが、事業や顧客への影響は限定的だった。Inetum は 26カ国以上で事業を展開しており、航空宇宙/防衛/銀行/自動車/エネルギー/公益/ヘルスケア/保険/小売/公共部門/輸送/通信/メディアなどの、さまざまな分野にデジタル・サービスを提供している。

限定的な影響

多数の企業にサービスを提供し、約 $2 billion の収益を上げている同グループは、ランサムウェア・ギャングにとって魅力的なターゲットとなっていた。12月19日に Inetum は、ランサムウェア攻撃の標的となった。この攻撃はフランス国内の一部の事業に影響を与えたが、顧客が利用する大規模なインフラには広がらなかった。

木曜日に Inetum はプレスリリースで、「Inetum の顧客の主要インフラ/コミュニケーション/コラボレーション/配送業務の、いずれにも影響はなかった」と発表した。Inetum Group の危機管理部門は、情報漏洩により顧客を危険にさらす可能性のある、重要な接続を保護するために迅速に行動した。この目的のために、運用チームは、影響を受けたネットワーク上の全サーバーを隔離し、クライアントの VPN 接続を終了させた。

最初の調査では、ランサムウェア攻撃に使用されたこと、そして、Log4j の脆弱性は、この事件で悪用されなかったことが判明した。

Inetum Group は、使用されたマルウェアの名前を公表していないが、フランスの出版社 LeMagIt の編集長である Valéry Marchive によると、ALPHV や Noberus とも呼ばれる BlackCat ランサムウェアを、攻撃者は使用していたとのことだ。

この、ファイル暗号化マルウェアは、ランサムウェアの運用として稀な Rust で書かれており、Broadcom 傘下の Symantec の研究者が発見したように、少なくとも 11月18日から攻撃に使用されている。BlackCat は、高度な機能をふんだんに備えており、他のコンピュータへの拡散や、仮想マシンや VMware ESXi ハイパーバイザーの終了/消去などが可能な、非常に柔軟な構成を備えている。

Inetum Group は、この攻撃について当局に通知し、サイバー犯罪専門部隊と協力している。また、インシデント・レスポンス・サービスのために、第三者にも協力を依頼している。現時点では、顧客への配送業務は安全で、メッセージング・システムやコラボレーション・システムも影響を受けていないとのことだ。

BlackCat ランサムウェアは、このブログでは初登場です。ただ、Rust で書かれたマルウェアの記事は、いくつかあるはずなので、そちらを調べてみました。最初は7月の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」という記事で、アナリストが新しい言語に慣れていないので学習曲線をたどることになると、指摘されています。そして8月には「Rust で書かれた Ficker Malware-as-a-Service はロシアから世界を狙う」という記事がありました。この記事では、Hancitor というマルウェアについて言及されていますが、BlackCat とは別系統のようです。


%d bloggers like this: