イギリスを拠点とする通信会社Colt Technology Servicesは、Warlockランサムウェアグループによって顧客の書類が盗まれ、ファイルがオークションにかけられていることを確認しました。
このイギリスの通信・ネットワークサービスプロバイダーは、8月12日に攻撃を受けたことを以前に公表していましたが、データが盗まれたことを認めたのは今回が初めてです。
「犯罪グループが当社システムから特定のファイルにアクセスし、顧客に関連する情報を含む可能性のある書類のタイトルをダークウェブに掲載しました」とColtのサイトに掲載された更新済みのセキュリティインシデントに関するお知らせには記載されています。
「この件についてご心配をおかけしていることを理解しています。」
「顧客の皆様は、専用のコールセンターにてダークウェブに掲載されたファイル名のリストをリクエストすることができます。」
この発表は、WarlockグループがRampサイバー犯罪フォーラムでColtから盗んだとされる100万件の書類を販売し始めた後に出されました。これらの書類は20万ドルで販売されており、財務情報やネットワーク構成データ、顧客情報が含まれているとされています。
出典: KELA
BleepingComputerは、フォーラム投稿に記載されたTox IDが、以前のランサムウェアグループの身代金要求メモで使われていたIDと一致することを確認しています。
Warlockグループ(別名Storm-2603)は、中国の脅威アクターに関連付けられているランサムウェアグループで、漏洩したLockBit WindowsおよびBabuk VMware ESXiの暗号化ツールを攻撃に利用しています。
このランサムウェアグループは2025年3月に活動を開始し、攻撃時にはカスタマイズされたTox IDを含むLockBitランサムウェアのメモを使用していました。
6月には、「Warlock Group」としてブランド化し、カスタマイズされた身代金要求メモやダークウェブ上の交渉・データ漏洩サイトを展開しました。
先月、Microsoftは脅威アクターがSharePointの脆弱性を悪用し、企業ネットワークに侵入してランサムウェアを展開していると報告しました。
BleepingComputerが確認した交渉では、ランサムウェアグループは45万ドルから数百万ドルの範囲で身代金を要求しています。
