最近、航空宇宙・防衛企業であるコリンズ・エアロスペースを標的としたサイバー攻撃が、ヨーロッパの主要空港で大きな混乱を引き起こしていますが、この攻撃には「HardBit」と呼ばれるランサムウェアが関与していたと報じられています。
HardBitランサムウェアは2022年10月に登場し、数か月後には、サイバー犯罪者が被害者のサイバー保険に基づいて身代金額の交渉に応じる意向があることが明らかになり、注目を集めました。それ以降、HardBitに関する報道はあまりありませんでした。
サイバー犯罪者はHardBitランサムウェアを使って侵害されたシステム上のファイルを暗号化し、被害者からデータを盗んだと主張していますが、多くの他のランサムウェア運用とは異なり、被害者の名前や盗んだデータを公開するウェブサイトは持っていないようです。
EUのサイバーセキュリティ機関ENISAは月曜日、空港の混乱がランサムウェア攻撃の結果であることを明らかにしましたが、詳細は共有しませんでした。
サイバーセキュリティ専門家のケビン・ボーモント氏は火曜日、この攻撃には「非常に基本的」なHardBitの亜種が使われていたと報告しました。ボーモント氏は関係筋から、コリンズ・エアロスペースがマルウェアの除去に苦戦しており、クリーンアップ後もデバイスが再感染していることを知ったと述べています。
BBCは今週初め、1,000台以上のコンピューターが影響を受けた可能性があり、コリンズ社がシステムを再構築・再稼働した後もハッカーがネットワーク内に残っていたことを発見したと報じました。
ランサムウェアの専門家ドミニク・アルヴィエリ氏はSecurityWeekに対し、自身の情報源もHardBitが攻撃に関与していたことを確認したと述べました。ただし、同氏はHardBitランサムウェアがアフィリエイトプログラムで提供されており、誰でもコリンズ・エアロスペースを標的にできた可能性があると指摘しています。
アルヴィエリ氏はまた、一部のHardBitアフィリエイトがMimicランサムウェアも使用していることが知られており、これが犯人特定を複雑にする可能性があると指摘しました。しかし、今回のケースではそれは当てはまらないと考えているそうです。
広告。スクロールして続きをお読みください。
アルヴィエリ氏はさらに、悪名高いランサムウェアグループBianLianが2023年にコリンズ・エアロスペースを標的にし、従業員の個人情報、業務情報、企業ファイルを盗んだと主張していたこともSecurityWeekに語りました。BianLianは2025年3月以降活動していませんが、2023年の侵入時にコリンズ社のシステムにバックドアを残した可能性があります。
今週初めには、悪名高いShinyHuntersハッカーが関与している可能性も示唆されていました。ShinyHuntersと関連するScattered Spiderは、航空業界を標的にしたことが知られています。
BBCは水曜日、英国国家犯罪対策庁(NCA)から、40歳の男性がコリンズ・エアロスペースのサイバー攻撃に関する捜査の一環としてウェスト・サセックスで逮捕されたことを知りました。
容疑者は火曜日の夜に逮捕されましたが、その後保釈されました。NCAの担当者は、捜査はまだ初期段階であると述べています。
英国当局は最近、Scattered Spiderの容疑者2人を逮捕しました。そのうちの1人は、米国で重要インフラへのハッキングに関して起訴されています。
チェックインおよび搭乗システムを提供するコリンズ・エアロスペースへのサイバー攻撃は、ロンドン・ヒースロー空港、ブリュッセル空港、ベルリン・ブランデンブルク空港を含む、英国、ドイツ、ベルギーの主要空港に影響を及ぼしました。
影響を受けた空港では遅延やフライトのキャンセルが報告されており、混乱は水曜日まで続いています。執筆時点でFlightRadar24は、影響を受けた空港で出発便の大幅な遅延が続いていることを示しています。