データ恐喝がもたらす影響
ファイルの暗号化を伴わない場合でも、データ侵害は数百万ドル規模の危機を引き起こすことがあります。Kairosによる事件は、データ流出の脅威だけでどれほど大きな圧力が生じるかを如実に示しています。実際に、あるアメリカの政府機関はサイバー犯罪者に100万ドルを支払いました。この支払いは、2TBを超える機密情報が窃取された後に行われたものです。興味深いことに、当局はKairosを本格的なランサムウェア集団として公式に確認したことはありません。
この重大なセキュリティインシデントは2025年5月19日に発生しました。Kairosは160万件のファイルを保有していると主張しました。そして、これらの記録の公開を防ぐ対価として300万ドルを要求しました。攻撃者は暗号化によってシステムを機能不全に陥らせる代わりに、別の手口を使いました。窃取した文書の詳細なリストと、アクセスを裏付けるファイルのサンプルを送りつけたのです。犯行グループによれば、流出したとされる資料には検察関連データ、人事関連文書、米国市民に関する記録が含まれていました。
当初の要求と交渉
当初、被害を受けた組織はわずか10万ドルを提示しました。その後、25万5,000ドル、続いて43万ドルへと引き上げました。一方Kairos側も、恐喝額を段階的に100万ドルまで引き下げていきました。さらに厳しい期限を設定し、データを即座に公開すると脅迫しました。最終的に6月13日、この組織はビットコインで資金を送金しました。その後、攻撃者は窃取したファイルを削除したと主張しました。また、ブルートフォースによる認証情報の総当たり攻撃(クレデンシャルスタッフィング)によってネットワークに侵入したことも明らかにしました。
疑わしい削除報告
残念ながら、提示された「削除報告書」には具体的な証拠がありませんでした。犯行グループが本当にファイルを破棄したかどうかを検証する手段は一切示されませんでした。さらに、この報告書には暗号学的な証跡もコマンド実行ログも含まれていませんでした。ファイルリストと実際の削除行為を結びつける材料は皆無でした。詳細なKairosランサムウェアによるデータ恐喝事例の分析によれば、調査担当者は暗号化ツールやマルウェアのサンプルを一切発見できなかったことが確認されています。この事実は、Kairosが従来型のランサムウェア集団として機能しているのかどうかに疑念を投げかけています。
身代金の足取りを追う
身代金の支払い後、犯罪者たちは即座に資金を複数の暗号資産ウォレットに分散させました。一部の送金は最終的に、ByBit、OKX、BELQIに関連するアドレスへとたどり着きました。しかし、これらのつながりから脅威アクターの真の身元が判明することはありません。その後、Kairosのリークサイトをホストしていたインフラには、押収を示す通知が表示されるようになりました。このメッセージは、ウクライナ保安庁のサイバー部門による摘発であるとしています。現時点では、逮捕者や同グループの完全な壊滅を裏付ける具体的な情報は存在していません。
重要な緩和策
組織は、こうした攻撃と同様のリスクを大幅に軽減することができます。まず、管理者は強固な多要素認証を導入する必要があります。次に、セキュリティチームはパスワードへのブルートフォース攻撃や不審なログインを積極的に監視すべきです。大量のデータが外部へ送信される動きを追跡することも、早期警戒の重要な手段となります。最後に、各組織は人事、法務、その他の機密性が高い情報を格納するリポジトリを厳格に隔離しなければなりません。恐喝シナリオを想定した明確なインシデント対応計画をあらかじめ策定しておくことも、依然として極めて重要です。
翻訳元: https://meterpreter.org/kairos-data-extortion/