出典:Stephen Dwyer(Alamy Stock Photo経由)
サイバーセキュリティ業界に衝撃を与えたと思われる出来事として、新たに結成された「Scattered Lapsus$ Hunters」を含む複数の著名な脅威アクターやグループが、自らの活動を終了すると発表しました。
この発表は先週、ハッキングマーケットプレイス「BreachForums」およびScattered Lapsus$ Huntersの公開Telegramチャンネルにて、「世界」宛ての別れの手紙という形で投稿されました。
「我々の目的は達成されたので、今こそ別れを告げる時です」とその手紙には書かれています。「我々LAPSUS$、Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari、その他多くの者たちは、闇に消えることを決めました。」
先月、Scattered Spider、Lapsus$、ShinyHuntersといった悪名高いサイバー犯罪グループ(研究者たちは「The Com」から派生したと考えている)が、新たな旗印「Scattered Lapsus$ Hunters」のもとで、公開Telegramチャンネル上で手を組んだように見えました。これらのグループのメンバーは、2つのSAP NetWeaver Visual Composerの脆弱性に対するエクスプロイトをTelegramチャンネルに投稿し、実際に攻撃が行われていることを示しました。
手紙によると、メンバーの中には、それぞれのグループで得た資金で引退を計画している者もいれば、社会により有益な形でサイバーセキュリティ分野に残り、人々が日常的に利用するシステムの改善などに取り組む者もいるとのことです。
グループは活動終了を表明していますが、一部のメッセージからは、まだ何か裏があることを示唆しています。
「ケリング、エールフランス、アメリカン航空、ブリティッシュエアウェイズ、その他多くの重要インフラは、公開または秘密裏のデータ侵害の“代償”を受けることになるのでしょうか?私が彼らの立場なら気になるでしょう。なぜなら、まだ身代金要求など何も受けていない企業もあることを彼らは知っているからです」と付け加えています。「米国、英国、オーストラリア、フランス当局が状況を掌握したと錯覚している間に、彼らのデータは現在悪用されているのでしょうか?」
Scattered Spiderは勝ち逃げか?
この終了発表は、特にScattered Spiderのようなグループにとっては意外性が強いものです。同グループは、複数のメンバーが逮捕されたにもかかわらず、最近まで猛威を振るっていました。
このサイバー犯罪集団は、2023年にラスベガスのカジノ・ホテル大手であるシーザーズ・エンターテイメントやMGMリゾーツへの攻撃で悪名を高めました。主に英語を話す10代や20代で構成されているこのグループは、その後、Marks and Spencerをはじめとする英国の小売業者や、WestJet、ハワイアン航空、その他大手企業やそのIT委託先企業への攻撃も行いました。
このグループは、FBIがそのソーシャルエンジニアリング手法について警告を発するほどの重大な脅威となりました。FBIは、リスクの高いグループに対し今夏注意喚起を行っています。
ShinyHuntersのような他のギャングも、Google、ルイ・ヴィトン、アリアンツなどの大企業を攻撃する際に、Scattered Spiderの手法を模倣しています。
脅威グループの今後は?
セキュリティ研究者たちは活動終了の発表に懐疑的で、一部では継続的な活動の証拠を指摘しています。
Reliaquestの研究者は月曜日に更新したブログ記事で、Scattered Spiderのメンバーが金融セクターを標的にしている兆候を観測したと述べています。「グループに関連している可能性のあるドメインが金融セクターに集中して増加していることや、最近特定された米国の銀行組織に対する標的型侵入など」が挙げられています。Reliaquestは先月、Scattered Spiderハッキング集団が間もなく金融セクターに焦点を移すと考えていると報告していました。
この活動は、グループが活動停止を主張した後に発生しているようで、被害者に偽の安心感を与えるために偽装して活動を続けている可能性があるとReliaquestは述べています。
「これらの主張にもかかわらず、TTP(戦術・技術・手順)やIoC(インジケーター・オブ・コンプロマイズ)は依然として表面化しており、脅威が依然として活動的かつ進化し続けていることを示しています」とブログ記事は述べています。「これらのグループが手法を適応させ続ける中、警戒と積極的な対応が極めて重要です。」