グループは先週脅迫した39社のうちごく一部から盗んだデータを公開
悪名高いScattered Lapsus$ Huntersランサムウェア同盟にとって、これが本当に終焉なのでしょうか?
先週、この恐喝スーパーグループのダークウェブおよびクリアネットのドメインが警察に押収され、39社から盗まれたとされるSalesforceデータの公開を脅迫していた同盟にとって、最新の挫折となりました。その中にはGoogleも含まれており、大規模なソーシャルエンジニアリング攻撃が行われていました。
しかし、グループのダークウェブサイトの1つは依然としてアクセス可能でした。予告通り、10月10日午後11時59分(EDT)に、グループはそこから6社分のデータを公開しました。これはTelegramメッセージによると、グループの引退前の最後の一撃になると主張されています。
土曜日の遅くにサイトが消えるまで名前が掲載されていた企業は、カンタス航空、ベトナム航空、Albertsons Companies、GAP Inc、富士フイルムホールディングス、Engie Resourcesでした。
CSO Onlineはリークサイトに掲載されたデータを直接検証していませんが、公開されたとされる記録数はカンタス航空で570万件(153GB)、Engie Resourcesで53万7000件(3GB)などとされています。
グループは復活を約束
このリークや、Salesforce顧客に対するキャンペーン中に持ち去られた他のデータの行方が不明であるにもかかわらず、先週の作戦は警察が一部のランサムウェアキャンペーンに使われるインフラをより効果的に妨害していることを示唆しています。
それにもかかわらず、Scattered Lapsus$ Huntersによるとされる皮肉なTelegram投稿で、グループは2026年に新たなサブスクリプション型「恐喝・アズ・ア・サービス」プラットフォームで復活すると約束しました。
これは「RaaS(ランサムウェア・アズ・ア・サービス)プログラムのようなものだが、ロックや暗号化は行わない」とグループはメッセージで述べており、このメッセージはその後Telegramから削除されました。
顧客は「我々の名前を使ってターゲットを恐喝できる」とされ、グループのブランド力によってランサムウェア交渉人がより反応しやすくなるとしています。
摘発は活動を遅らせるだけ
リサーチ会社Intel 471のサイバー脅威インテリジェンス担当エグゼクティブエディターJeremy Kirkによると、警察は3年以上にわたりScattered Lapsus$ Huntersに関与する個別グループに迫ってきました。これにはメンバーの逮捕も含まれます。これが長期的にグループにダメージを与えたかはまだ分かりません。
「法執行機関はここ数年、繰り返し摘発を行うことで前例を作ってきましたし、脅威アクターたちもこれらのフォーラムを運営するリスクが高まっていることを認識しています」とKirk氏は述べています。「サイバー脅威インテリジェンスの観点からは、中央集権型フォーラムはアクセス仲介やデータ漏洩などの可視性を大きく提供します。」しかし彼は続けて、「ドメイン押収は戦術的な勝利ですが、脅威アクターはしばしばフォーラムのソフトウェアやデータのバックアップを持っており、再びフォーラムを立ち上げることができます」と述べています。
Kirk氏によれば、「フォーラムのインフラが妨害されても活動は止まらず、Telegramのような他の場所に分散し、追跡がより困難になる」とのことです。
他のメンバーが依然として逃亡中である限り、Kirk氏は警察の行動が活動を一時的に遅らせる以上の効果は期待できないと悲観的な見方を続けています。
盗まれたデータは依然として危険
一方、Salesforceキャンペーン中に盗まれた他のデータも引き続きリスクにさらされています。これらのデータがいずれ他の犯罪組織に漏洩する可能性は非常に高いです。この単純な非対称性こそが、データ漏洩を巨大なビジネスに変えた理由です。盗まれたデータは元に戻すことができず、永遠に漏洩状態にあります。これは身代金が支払われたかどうかに関係ありません。
「これらの脅威アクターの活動が収まるとは考えていませんし、彼らはソーシャルエンジニアリングのスキルや、ヘルプデスク手順や企業向けソフトウェアサプライチェーンに精通しているため、企業にとって依然として大きな脅威です」とKirk氏は述べています。
これは、ランサムウェアアクターが復活できる根本的な問題を示しています。彼らはしばしば防御側よりも先に技術やプロセスの弱点を知っているのです。なぜか?推測ですが、犯罪者は弱点を探しますが、防御側はそうしない理由があるからです。
また、これらの犯罪者はより効果的になるために協力し合っています。Scattered Lapsus$ Huntersはサイバー犯罪界で唯一の同盟ではありません。別の最近の動きとして、ロシアの3大ランサムウェア組織であるDragonForce、Qilin、LockBitが、攻撃の調整やリソース共有を目的とした犯罪カルテルを結成したと発表しました。これは、彼らが「困難な」恐喝環境と表現する状況への対応です。
