LockBit and Royal Mail Ransomware Negotiation Leaked
2023/02/15 InfoSecurity — 2023年1月に発生した、LockBit による Royal Mail へのランサムウェア攻撃において、同社から盗まれたデータを安全に返還するためには、£65.7m ($79.85m) が必要だと要求する、両者間での会話のログが公開された。このインシデントは発生してから数時間後に、LockBit グループが犯行声明を出し、数日間にわたり Royal Mail の業務に支障が生じたと報道された。そして昨日には、Royal Mail の交渉担当者との会話を、このハッキング集団が流出させたが、ITPro によると、この会話は約3週間にも及んでいるそうだ。
Secureworks の Security Researcher and LockBit Thematic Lead である Tim Mitchell は、「LockBit が交渉に関する会話を公開するケースは、被害者に圧力をかけて報酬を得るという可能性が、無くなった後に起こるのが通常である。つまり、あなたが支払わないなら、私たちはファイルを公開し、このデータも公開するというメッセージである。しかし、このような戦術は、さらなる交渉のために、ドアを開けておくことも可能にする」と説明している。
例を挙げると、この交渉の記録には、さまざまな手法で脅威アクターが、Royal Mail に対して身代金を支払うよう説得していることが示されている。1つ目は、盗まれたファイルの復号機が動作したことを示すこと、2つ目は、身代金の額を £57.4m ($69.76m) に引き下げることである。
Mitchell は Infosecurity に対して、「LockBit が、盗んだデータを持っているなら、それは何なのか、まだ疑問がある。Royal Mail の交渉担当者は、それを立証しようと努力している。どの時点においても、支払う意思を示さない、定型的な回答で時間を稼いでいる」とメールで語っている。
結局のところ、Royal Mail は身代金を支払わず、最終期限である 2月9日になった。しかそ、本稿執筆時点では、Lockbit は盗んだとしているデータを公にしていない。
Bugcrowd の CTO である Casey Ellis は、「このログが本物であると仮定すれば、ランサムウェアに関わるプロセスや人物像について、これまで見たことがないような興味深い洞察が得られる。サイバー犯罪やランサムウェアの運営者たちは、インターネット上の影の薄い不透明な存在と思われているが、カスタマー・サポートや売掛金のような、はるかに身近な存在により構成/運営されていることを忘れてしまいがちだ」と述べている。
Vulcan Cyber の Senior Technical Engineer である Mike Parkin は「サイバー・セキュリティの専門家たちは、このような攻撃によるリスクを削減できるが、そのためには、国際法執行コミュニティと協力する必要がある。合法的なビジネスの世界から借用したビジネス・モデルを用いて、これらのサイバー犯罪組織が活動しているという事実は、彼らが巧妙になっている状況を示している。法執行機関の課題は、世界と協力することに関心のない国々が、国家レベルでスポンサーとなっている、ギャングに対処することだ」と語っている。
先月に Lockbit は、2022年12月に攻撃した小児科病院に謝罪し、無料で復号化キーを提供したことで話題になった。
Royal Mail と Lockbit の交渉ですが、すでに1ヶ月以上が経過するという、長丁場の戦いになっています。2023/01/20 の「ランサムウェア・ギャングたちの総決算 2022年:身代金収益は 40% 減」という記事には、いくつかの理由が挙げられています。よろしければ、ご参照ください。
2023/02/07:英 Royal Mail: LockBit が犯行を主張
2023/01/13:英 Royal Mail の国際郵便が止まった
IoT OT Security News 
You must be logged in to post a comment.