Ransomware gang threatens to release stolen Medibank data
2022/11/07 BleepingComputer — オーストラリアの医療保険会社 Medibank Private Limited に対する、10月のランサムウェア攻撃については、REvil の再始動と推測する説もあるが、BlogXX として追跡されているランサムウェア・グループが犯行を主張している。 Medibank は、オーストラリア最大の民間医療保険会社の1つであり、390 万人以上をカバーし、4,000人の従業員を擁している。これまでの Medibank への攻撃は、特定のランサムウェア・グループに起因するものとはされてなかった。しかし、今回の攻撃においては、同社のネットワーク上で観測された悪質な活動が、あるランサムウェアの活動に一致することが確認された。
今日になって、このランサムウェア・グループは、データリーク・サイトに追加された新しいエントリにおいて、Medibank のシステムから盗み出したとするデータを、24時間以内に流出させると脅迫している。
同グループは、Medibank のネットワークから流出させたデータについては明らかにせず、また、これらの主張を検証するための証拠も公開していない。
今日に、BleepingComputer は Medibank に対して、このランサムウェア・グループの主張を確認するために連絡を取ったが、同社の広報担当者はコメントを出すことができなかった。
REvil の再始動か?
オリジナルの REvil ランサムウェア・グループは、2021年10月に Tor サーバーを法執行機関によりハイジャックされ、その後に、ロシア当局がギャングのメンバーの一部を逮捕したことで、閉鎖されたと伝えられている。
しかし、不思議なことに 2022年4月に、このオペレーションのオリジナルの Tor Web サイトが、BlogXX と呼ばれる新たなオペレーションの Web サイトへと、訪問者たちをリダイレクトするようになった。この脅威アクターたちと被害者との交渉では、オリジナル REvil オペレーションで使用されていた、Sodinokibi という名前が使われているという。
さらに、セキュリティ研究者たちは、この新しいオペレーションの暗号化装置が、REvil の暗号化装置のソースコードに基づいていることを確認している。
Web サイトのリダイレクトやコードの類似性から、この新しいオペレーションは、REvil の開発者やメンバーたちによる、REvil オペレーションの再始動とも見なされている。
しかし、セキュリティ研究者である MalwareHunterTeam は、このグループは BlogXX であり、まったく新しいオペレーションであると考えている。
Medibank は身代金の支払いを拒否している
Medibank は、この攻撃の背後にいるハッキング・グループについて、何者であるのかは確認できていない。しかし同社は、今日に発表したプレス・リリースで、攻撃者からの身代金要求を拒否したと述べている。
今日になって Medibank は、「このデータ窃取犯に対して、身代金の支払いは行わないと発表した。サイバー犯罪の専門家たちから受けた広範な助言に基づき、身代金を支払うことで顧客のデータが確実に返却され、公開されないようにできる可能性は限られていると考えている」と述べている。
同社は、脅威アクターに金銭を支払えば、データ流出の影響を受けた顧客を狙う動機にもなる可能性が高いと付け加えている。さらに、身代金を支払えば、オーストラリアの組織に対する攻撃が活性化し、より多くの人々が危険にさらされる可能性もある。
同社は、「身代金を支払うことで、オーストラリアがより大きな標的となり、より多くの人々が危険にさらされる可能性が高い。この決定は、オーストラリア政府の立場と一致している」と述べている。
脅威アクターは数百万人の顧客データにアクセスしていた
当初、Medibank は、顧客情報へのアクセスや、データ窃取の形跡はないと発表していた。しかし、その後に、一部の顧客データが、ハッカーにアクセスされたことを明らかにした。
そして、今日になって Medibank は、ランサムウェア・グループがデータ流出を行って主張を裏付ける前に、数百万人分の顧客の機密情報がアクセスされていたことを明かした。
Medibank が今回の情報漏洩で流出したと考えているデータの全容は以下の通りだ:
- 過去/現在における約 970万人分 (顧客と正規代理人) の、氏名/生年月日/住所/電話番号/Eメール・アドレス
- Ahm Health Insurance (ahm) 顧客のメディケア番号 (有効期限は含まれない)
- 留学生資格を持つ顧客のパスポート番号 (有効期限は含まれない) /ビザの詳細情報
- Medibank /ahm/海外の顧客である約 48万人分の健康保険請求データ
- 医療機関名/医療機関番号/住所などの医療機関情報
また、Medibank は、10月の攻撃の背後にいるサイバー犯罪者たちは、クレジットカードや銀行などの金融情報/運転免許証などの主要 ID 情報や、歯科/フィジオ/光学/心理などのエクストラ・サービスの医療請求データには、アクセスできなかったはずだとも付け加えている。
同社は、「この犯罪の性質を考えると、残念ながら、アクセスされたすべての顧客データが、犯人により持ち出された可能性があると考えている。犯人は顧客データをオンラインで公開する可能性があり、また、顧客に対してダイレクトに連絡する可能性があるため、顧客は引き続き警戒する必要がある」と述べている。
最近の調査結果である、10月31日の「医療機関とサイバー攻撃:犯罪者にとって魅力的なターゲットであり続ける理由は?」によると、回答者の 61% が過去12カ月以内に、クラウド・インフラに対するサイバー攻撃を受けたとのことです。日本においても、大阪急性期総合医療センターがランサムウェア攻撃に遭い、電子カルテ・システムに障害が発生しているとの報道がありました。 とても困った状況ですね。
IoT OT Security News 
You must be logged in to post a comment.