NFL の San Francisco 49ers が BlackByte ランサムウェアの攻撃に遭っている

NFL’s San Francisco 49ers hit by Blackbyte ransomware attack

2022/02/13 BleepingComputer — NFL の San Francisco 49ers は、同チームからデータを盗んだと主張する、ランサムウェア ギャング BlackByte のサイバー攻撃から回復しつつある。49ers は BleepingComputer への声明の中で、この攻撃を検知し、また、IT ネットワークの一部に一時的な障害が発生したと述べている。ハッカーがランサムウェアの導入に成功/失敗したのかを、49ers は確認していないが、システムの復旧作業を行っている最中であり、デバイスが暗号化されていた可能性が高いと述べている。

San Francisco 49ers は、「最近に、ネットワーク・セキュリティ・インシデントが発生したことを検知し、その結果として、企業の IT ネットワーク上の特定のシステムが一時的に停止した。このインシデントを検知してから、直ちに調査を開始し、事件を収束させるための措置をとっている。第三者のサイバー・セキュリティ企業に支援を依頼し、法執行機関にも通報した。調査は継続中だが、今回のインシデントによる被害は、当社のコーポレート IT ネットワークに限定されていると考えている。

現在のところ、このインシデントが、当社のコーポレート・ネットワーク以外のシステムである、Levi’s Stadium の運営やチケット・ホルダーに接続されているシステムなどに影響を与えているという兆候はない。調査を続ける中、関係するシステムを可能な限り迅速かつ安全に復旧するために、懸命に取り組んでいる」と述べている。

ランサムウェアの攻撃とは、企業のネットワークに侵入し、他のデバイスに静かに拡散してデータを盗み出す。最終的にハッカーは、ネットワーク上の全デバイスを暗号化するマルウェアを展開し、解読キーと引き換えに暗号通貨の支払いを要求するという、身代金のメモを残す。その後、ランサムウェア・ギャングは、身代金を支払わなければ、盗んだファイルを公開すると脅すのが常である。

BlackByte ギャングは、NFL が Super Bowl 2022 の準備をしている最中である 2月12日に、49er の身代金の未払いにより、盗んだだと主張するファイルのリークを開始した。今回に流出したデータは、49ers のネットワークから盗まれた 2020年分の請求書だとする 292MB のファイル・アーカイブである。

BlackByte は通常、被害者に支払いを迫るために、被害者の大量のデータを公開する。
今回の 49ers への攻撃で、どれだけのデータが盗まれたかは不明だが、BlackByte は過去の被害者からギガバイト単位のデータを盗んでいる。

BlackByte とは?

BlackByte ランサムウェアは、2021年7月に登場し、世界中の企業対象に活動を開始した。このランサムウェア・ギャングは、他のグループほど活発ではないが、数多くの攻撃を成功させており、企業が無視してはいけないことを意味している。このランサムウェアは脆弱性を利用して、企業ネットワークへの初期アクセスを行うことで知られている。

2021年10月に BlackByte は、同じ復号化/暗号化キーを複数の攻撃に再利用するという、重大なミスを犯した。BlackByte は直ちにバグを修正したが、それによりサイバー・セキュリティ企業の Trustwave が無料の復号キーを作成し、一部の被害者は無料でファイルを復元できるようになった。

文中にある BlackByte のミスの件ですが、2021年10月19日の「BlackByte ランサムウェア:バグにより複合キーが漏れ出したようだ」で詳しく説明されています。また、12月1日の「Microsoft Exchange への BlackByte 攻撃:依然として ProxyShell が暴れている」では、その攻撃パターンが解説されています。他のランサムウェアほど活発に行動していませんが、世界中で多くの攻撃を成功させており、無視することはできないとされています。

%d bloggers like this: