出典:jhonny marcell oportus(Shutterstock)
ラテンアメリカおよび南米のサイバー脅威グループは、政府機関や請負業者をターゲットにするケースが増加しており、市民データを大量に窃取・換金した結果、この地域の行政部門は過去1年間で最も侵害の多いセクターとなっている。
5月中旬、「La Pampa Leaks」として知られるグループが、通信プロバイダーAntelが管理するウルグアイ政府の本人確認サービスを侵害したと主張し、報道によると、その情報を市民データ検索サービスとして換金しているとされる。2月には、Chronus Groupと呼ばれるハッキング集団が25のメキシコ政府機関・団体からデータを盗んだと主張した。また、コロンビアでは、3月の1か月間だけで同国の保健省に対して2,300万件以上のサイバー攻撃が試みられた。
この地域は独自のサイバー犯罪エコシステムを育んでおり、チリ、コロンビア、メキシコ、ウルグアイなどの国々で、地元のサイバー犯罪グループが政府機関や自治体インフラを標的にしていると、KasperskyのGlobal Research and Analysis Team(GReAT)のリードセキュリティ研究者、Fabio Assolini氏は述べている。
「広範なネットを張るグローバルなカルテルとは異なり、これらのアクターは地域の地政学的状況を深く理解しています」と彼はDark Readingに語り、独自の手口についても付け加えた。「従来の運用モデルから離れ、これらのグループは『純粋な恐喝』攻撃へと軸足を移しており、暗号化フェーズを完全に省略して大量データの窃取のみに集中しています。」
過去1年間で攻撃者の標的となったのはペルー、メキシコ、ブラジルの組織も含まれており、それぞれ少なくとも90件のデータ侵害を受け、最も標的とされた国のトップ10入りを果たしている。これはサイバーリスクプラットフォームプロバイダーであるBitsightのデータによるものだ。さらに、同社のデータによれば、「行政」が侵害被害の業種別リストのトップを占めており、過去12か月間の侵害全体の21%、すなわち543件に上っている。
行政部門はサイバー犯罪者に最も狙われる経済セクターとしてトップを占め続けている。出典:Bitsight
サイバー脅威アクターがこの地域で攻撃の肥沃な土壌を見つけている一方、ラテンアメリカの地政学的環境がサイバー脅威の状況にさらなる層を加えていると、Bitsightの脅威インテリジェンス研究者Emma Stevens氏は述べている。
「選挙、政治的対立、経済的不安定、外国の影響力への懸念が、政府機関をハクティビスト、国家に連携したアクター、財政的動機を持つグループにとってより魅力的なターゲットにし得ます」と彼女は述べる。「ウルグアイ、パラグアイ、アルゼンチン、メキシコにわたる最近の活動は、孤立した事件ではなく、公共部門や市民に隣接するシステムが繰り返し標的にされていることを示しています。」
ラテンアメリカのサイバー犯罪者は独自の攻撃手口を志向
他の脅威アクターと同様、ラテンアメリカの脅威状況を標的とするアクターはハクティビズム、金銭的利益、または国家活動に焦点を当てる傾向がある。しかし多くの点で、彼らは独自の手口も持っている。地域の脅威アクターは主要なランサムウェアグループと同じ初期アクセスおよびラテラルムーブメントの戦略を活用しているが、侵害後の行動は大きく異なると、KasperskyのAssolini氏は述べている。
「暗号化ツールを展開する代わりに、彼らは静かに政府データベースを吸い上げます」と彼は述べる。「彼らの戦略は心理的・公的プレッシャーに依存しており、ShinyHuntersのようなグループの手口を模倣しています。」
例えば5月末には、APT73としても知られるランサムウェアグループ「Bashe」が、アルゼンチンの多くの公共事業プロジェクトを手掛けるエンジニアリング・建設会社Grupo Petersenへの侵害を主張した。このグループは、公開されているデータを使ってデータ侵害の主張を捏造したり、過去の侵害データを再利用したりすることで知られる地域グループの一つだ。例えばAntelは、La Pampa Leaksの侵害主張を軽視し、(Google翻訳経由で)「パスワード、署名PIN、デジタル証明書に関連する秘密鍵、または認証情報は侵害されておらず、プラットフォームが現在使用している操作や認証メカニズムには影響がなかった」と述べた。
他地域のランサムウェアグループも被害者への圧力をかけるために大げさな主張を使ってきたが、この手法はラテンアメリカで特に蔓延していると、KasperskyのAssolini氏は述べている。
「これらの『新しい』発表の相当数は巧妙な欺きです」と彼は言う。「サイバー犯罪グループは、古くから知られる侵害の歴史的・公開データを頻繁に再利用し、自動生成されたレコードと混ぜ合わせて、新しい企業ターゲットに偽って帰属させます。」
地域規制の強化が恐喝の試みを引き寄せる
この地域の政府機関への攻撃がこれほど急速に増加した理由の一つは、身代金要求に直面した際、公的機関は往々にしてそのコストを公開流出による法的・政治的影響と天秤にかけるからだと、Assolini氏は述べている。この地域のより多くの国々が厳格なサイバーセキュリティ規則を採用し、機関や請負業者に遵守を求めている。
「サイバー犯罪者は、規制コンプライアンスが武器として利用できることに気づきました」と彼は言う。「機密性の高い市民データを公開すると脅すことで、攻撃者は被害者が巨額の政府罰金、政治的余波、深刻な風評被害を恐れる心理を利用します。」
組織は、露出したサービス、脆弱なアイデンティティ管理、未適用の脆弱性パッチ、オープンポートなど、サイバー脅威アクターが引き続き注目している領域でレジリエンスを構築すべきだと、BitsightのStevens氏は述べている。
「特にラテンアメリカのCERTにとって、アイデンティティセキュリティと露出したインフラを最優先すべきです。なぜならそれらの領域が、単一の弱点をより大規模な公共部門のインシデントへと拡大させかねない箇所だからです」と彼女は付け加えた。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/latin-american-cybercriminals-government-data
