Energy Industry Faces Increasing Dark Web Cyber Threats
2023/05/17 InfoSecurity — 石油/ガス企業における CISO の 28% が、ダークウェブから発信されるサイバー脅威を検知していない、もしくは、積極的に監視していないという。この主張は、Searchlight Cyber が提供する最新の脅威情報レポートによるものであり、ダークウェブ上の活動は自社に影響を及ぼさないと、エネルギー業界の CISO の 27% が信じていることも示している。
このレポートによると、企業ネットワークへのイニシャル・アクセスを取引するダークウェブ・オークションは、エネルギー業界に対する最も大きな脅威である。これらのオークションは、Exploit/RaidForums/BreachForums などの、有名なハッキング・フォーラムで頻繁に開催されている。
このレポートには、オークションへの投稿が、標準的な形式に従っていることも記されている。一般的に、脅威アクターたちは Start/Step/Blitz などの用語を使用して、開始価格/入札額の増分/購入価格 を示しているようだ。
これらのオークションにおいて、大半の投稿に記載されているのは、アクセス・タイプに加えて、來生組織の国籍/業種/収益などの情報である。さまざまなオークションが、さまざまな組織に影響を与えている現状が証明するように、イニシャル・アクセス市場に特化した脅威アクターたちが、それらの情報を投稿している。
Ontinue の VP of Security Operations である Craig Jones は、「企業ネットワークへのインシャル・アクセスを、脅威アクターたちがダークウェブで競売にかけるという現実は、サイバー犯罪の裏社会における洗練度と組織性を浮き彫りにしている。これらのオークションは地域に限定されるものではなく、世界各国の組織をターゲットにしており、この脅威の性質がグローバルなものであることも浮き彫りにしている」とコメントしている。
この調査で明らかなっているのは、脅威アクターたが ICS (Industrial Control Systems) について議論していることである。それに加えて、SCADA (Supervisory Control And Data Acquisition)/PLC (Programmable Logic Controllers)/RTU (Remote Terminal Units)/HMI (Human Machine Interfaces) などのコンポーネントに関する、チュートリアル/論文/文書も共有されているようだ。
CardinalOps の VP of Cyber Defense St rategy である Phil Neray は、「ランサムウェアを操る脅威アクターたちは、大きな利益を生み出せる業種を狙っているが、エネルギー企業は確実の、そのカテゴリーに入っている。さらに言えば、悪用される大量のリモート接続には、脆弱な認証情報や、窃取された認証情報、VPN の脆弱性などが含まれ、セキュリティ制御が危殆化しがちとなる」と説明している。
先日に、Group-IB の脅威インテリジェンス・チームが、インフラ分野を標的とする Qilin ランサムウェア・グループの新たなキャンペーンを明らかにした。その数日後に、Searchlight Cyber の脅威インテリジェンス・レポートは発表されている。
インフラを狙う脅威アクターが増えています。そして、この種の脅威を助長するものとして、ダークウェブが機能しているようです。最近では、2023/03/28 の「中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する」や、2023/04/08 の「ARES Data Leak フォーラムの台頭:Breached のシャットダウンを追い風にしている」といった記事がポストされています。よろしければ、カテゴリ Infrastructure および DarkWeb も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.