Entrust 対 LockBit:セキュリティ大手 へのランサムウェア攻撃とリークをめぐる戦い

LockBit claims ransomware attack on security giant Entrust

2022/08/18 BleepingComputer — ランサムウェア・グループ LockBit が、2022年6月にデジタル・セキュリティ大手 Entrust に対して、サイバー攻撃を仕掛けたと主張している。2022年6月18日に Entrust がランサムウェア攻撃を受けたことは、BleepingComputer も7月に報じている。Entrust は、内部システムからデータが窃取されるサイバー攻撃を受けたと、6月上旬から顧客に伝えていた。

同社は顧客へのセキュリティ通知で、「いくつかのファイルが、内部システムから盗まれたことを確認した」と述べており、この問題が、同社の製品/サービスのセキュリティに影響を与える可能性が判明した場合には、顧客にダイレクトに連絡するとしている。

Entrust は BleepingComputer に対して、攻撃に関する詳細や、ランサムウェア攻撃の有無は明らかにせず、このインシデントは調査中であると述べている。同社は、「調査は進行中だが、これまでのところ、この問題が当社の製品/サービスの運用や、セキュリティに影響を与えている兆候は見つかっていない。当社の製品やサービスは、内部システムとは別のエアギャップ環境で実行され、完全に運用されている」と述べている。 

しかし、その当時に、AdvIntel の CEO である Vitali Kremez は BleepingComputer に対して、「有名なランサムウェア・グループが、ネットワークアクセス販売者を通じて企業ネットワークへのアクセスを購入し、Entrust を攻撃した」と指摘している。

Entrust への攻撃を主張する LockBit

今日になって、セキュリティ研究者の Dominic Alvieri は、「LockBit は Entrust 専用のデータリーク・サイトを作成し、窃取した全てのデータを、明日の夜にリークしようとしている」と語った。

LockBit データリーク・サイトにある Entrust のページ
Source: BleepingComputer

一般的に、ランサムウェア・ギャングが、データリーク・サイトでデータを公開するときは、被害者を脅して交渉に戻らせる場合であり、通常は時間をかけてデータをリークしていく。そのため、LockBit が全てデータを公開すると主張するなら、Entrust がランサムウェア・オペレーターと交渉していないか、彼らの要求を拒否していることを示している。そして、LockBit による攻撃の主張は、情報筋が以前に BleepingComputer に語った犯人を、特定するための情報となる。

LockBit は、現時点で最も活発なランサムウェア・オペレーターの1つと見なされており、同社の一般向けオペレーションである LockBitSupp は、攻撃者やサイバーセキュリティ研究者たちと、積極的に関与している。

6月には、LockBit 3.0 がリリースされている。これは、BlackMatter のソースコードに基づく暗号化ツール/支払いオプション/恐喝戦略などの新しい機能や、ランサムウェア初のバグバウンティ・プログラムを備えている。新しい戦術/技術/支払い方法を継続的に採用しているため、セキュリティとネットワークの専門家たちは、作戦と TTP の進化について、最新の情報を常に得ることが不可欠となる。

Update 8/21/22:

LockBit が Entrust のものと思しきデータをリーク

LockBit は、Entrust データのリークを、金曜日の夕方に開始した。まず、盗み出したとするデータのスクリーンショットを部分的に公開し、さらなるデータを、同日の夜遅くに流出させると述べていた。

一連のデータ漏洩を監視してきた Alvieri によると、流出したデータは、会計や法律に関する文書や、マーケティングのスプレッドシートで構成されているとのことだ。しかし、LockBit  がデータのリークを開始した直後に、彼らの Tor データリーク・サイトがオフラインになった。LockBit は、Entrust への攻撃が原因で DDoS 攻撃を受けていると主張した。

BleepingComputer は、Entrust に対して、漏洩したデータについて問い合わせたが、7月に発表した当初の声明に追加することは何もないとのことだ。

セキュリティ大手 Entrust に対する、LockBit ランサムウェアの攻撃については、7月22日の「Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?」でお伝えしました。攻撃が行われた 6月18日から2ヶ月が経ちましたが、身代金とリークをめぐる戦いが続いているようです。それにしても、LockBit の Tor サイトがダウンというのは、とても興味深い展開です。よろしければ、LockBit で検索を、ご利用ください。たくさん出てきます。

%d bloggers like this: