BEC を誘発するランサムウェア:恐喝で暴露された機密データが繰り返して悪用される

Cybercriminals Weaponizing Ransomware Data for BEC Attacks

2022/08/13 DarkReading — 攻撃を一度されると、何度でも被害に遭う。ダークウェブのデータ市場で、ランサムウェア攻撃中に流出したデータを驚異アクターたちは容易に見つけ出し、後続の攻撃に利用することができる。Accenture Cyber Threat Intelligence (ACTI) の最新分析によると、サイバー犯罪者や脅威アクターたちは、ランサムウェア攻撃から流出したデータを二次的に悪用し、ビジネスメール侵害 (BEC : Business Email Compromise) 攻撃を仕掛ける傾向が強まっているとのことだ。  

Breakdown of data leak victims on dedicated leak sites
Source: Accenture Cyber Threat IntelligencePDF

ACTI チームは 2021年7月〜2022年7月に調査を行い、最も活発なランサムウェア流出サイトTop-20 のデータを、被害者数の観点で分析した。各種のランサムウェア・グループ専用のリークサイトで発覚した、4,026件の被害者 (企業/非政府組織/政府機関) のうちの 91% 相当が、その後にデータ開示が発生していることが判明した。

漏洩したデータの区分としては、財務データが最も多く、それに続くのが、従業員や顧客の個人を特定できる情報、通信文書などをなっている。攻撃グループがランサムウェアを使ってデータを流出させ、そのデータを流出専用サイトで公開するという、二重恐喝行為の増加により、大量の機密企業データが、あらゆる脅威アクターに悪用されるようになっている。

BEC 攻撃を実施する際に、最も有用なデータの種類は、財務データ/従業員データ/通信データ/業務文書である。BEC 攻撃に最も有効なデータの種類と、ランサムウェアの流出サイトに掲載されているデータの種類には、かなりの重複があると ACTI は指摘している。

これらのデータは、「犯罪者にとって貴重な情報源であり、二次的な BEC 攻撃のために容易に武器化できる。二重流出による BEC/VEC 攻撃の脅威を増大させる主な要因は、企業および通信に関するデータの入手可能性である」と、ACTI は述べている。

There is overlap between available disclosed data and such data’s usefulness for BEC attacks.
Source: Accenture Cyber Threat IntelligencePDF

それらのデータ窃盗団は、顧客から盗み出された情報を見つけ、不正なアクセスを容易にしている。専用のリークサイトは、Torドメインに隠されているのではなく、一般にアクセス可能なサイトにも広まっており、攻撃に必要なものを驚異アクターが見つけやすくするために、検索可能なインデックス付きデータを提供しているもある。

たとえば、データ販売マーケットプレイスである Industrial Spy の運営者は、特定のファイルが簡単に見つかるよう、コンテンツを反映したラベルでフォルダを整理し、名前を付けている、と ACTI は述べている。

顧客である驚異アクターたちは、同マーケット・プレイスの検索機能を使って、従業員データ/請求書/スキャン/契約書/法的文書/電子メールメッセージなどの、特定のファイルを探すことが可能だ。また、特定の業界や国々のデータも検索できるという。

ACTI は、「このような、インデックス付きで検索が可能なデータベースは、大量のデータをダウンロードして目的の情報を見つけるよりも、特定のデータを効率的に取得するのに役立つ」と述べている。

たしかに、ランサムウェア・ギャングによる恐喝が、成功しようが失敗に終わろうが、かなりの量の、しかも、BEC に悪用できそうな、機密データがダークウェブに出回ることになります。BEC を仕掛けられると、かなりの比率で、甚大な被害を被ることになります。よろしければ、2021年7月29日の「ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?」を、ご参照ください。また、BEC で検索も、ご利用ください。

%d bloggers like this: