風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている

Wind turbine firm Nordex hit by Conti ransomware attack

2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発/製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。

当初の Nordex の報道発表では、「侵入は早い段階で検知され、危機管理プロトコルに沿って直ちに対応策が開始された。予防措置として、当社は複数の拠点と事業部門の IT システムを停止することを決定した」と説明されていた。

しかし、3月31日に BleepingComputer は、同社が Conti ランサムウェアの攻撃を受け、プラットフォーム全体がオフラインになったことを知った。さらに、情報筋によると、この攻撃がどこから来たのか、Nordex は分からずにいて、調査を開始しているとのことだ。

BleepingComputer から Nordex に送られた、ランサムウェア攻撃の確認のための複数の電子メールに対しては、依然として返信が得られていない。昨日に、Nordex は最新の声明を発表し、顧客の資産を保護するために、マネージド・タービンへのリモート・アクセスも無効にしたと説明している。さらに、調査の結果、攻撃は同社の内部システムに限定されており、顧客の資産には広がっていないとしている。

Nordex は、「関係当局との緊密な協力のもと、社内外の IT 専門家で構成される緊急対応チームが、大規模な調査とフォレンジック分析を行っている。分析結果の速報では、このインシデントの影響は内部 IT インフラに限定されていることが示唆される。このインシデントが、Nordex の IT インフラ以外の、第三者の資産などに波及した兆候はない」と説明している

なお、デンマークの風力発電機メーカーである Vestas は、2022年11月にランサムウェア LockBit による、ランサムウェア攻撃を受けている。

Conti ランサムウェアが Nordex への攻撃を主張

今日、ランサムウェア Conti は、Nordex への攻撃の背後には、自分たちがいると主張した。しかし、このランサムウェア・ギャングはデータの流出を開始していないため、Nordex との間で交渉が行われている可能性と、攻撃中にデータが盗まれなかった可能性がある。

Conti ransomware claims attack on Nordex
Conti ransomware claims attack on Nordex


Conti は、Ryuk/TrickBot/BazarLoader といったマルウェア感染で知られる、ロシアのハッキング・グループにより運営されている、高い攻撃力を持つランサムウェアである。

一般的に Conti は、フィッシング攻撃により標的デバイスを BazarLoader/TrickBot などのマルウェアに感染させた後に、エンタープライズ・ネットワークにアクセスするという作戦をとる。そして、ネットワークを通じて拡散している間に、ファイルを盗み出し、自身のサーバーにアップロードする。そのときに盗み出したデータが、身代金を支払うよう被害者に圧力をかけるための、二重の恐喝攻撃の一部として使用される。

最近のこと、ウクライナの研究者が、Conti ランサムウェアのメンバー間で交わされた約 17万件の内部チャットと、Conti ランサムウェアのソースコードを公開するという、Conti ギャングを逆手に取るデータ侵害が生じている。しかし、このサイバー犯罪組織の活動は継続的なものであり、米国政府からも Conti ランサムウェア攻撃に関する勧告が発出されている。

今年は、この Nordex のような社会インフラや、製造業などを狙う攻撃が増えそうですね。3月24日の「Delta Electronics 電力管理システムに深刻な脆弱性:ICS などにも影響が生じる?」や、3月25日の「エネルギー分野への攻撃:米政府がロシアの国家支援ハッカーを起訴」、4月7日の「BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?」といった具合に、エネルギー関連の記事が立て続けに出ています。また、昨日には、「米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた」という記事が出たところです。

%d bloggers like this: