スイス連邦の政府データが、スイスの健康財団Radixを標的としたサイバー攻撃の後、ダークウェブ上で流出しました。
6月30日、チューリッヒに拠点を置くこの非営利団体は、ドイツ語の声明を発表し、6月16日にランサムウェア攻撃を受け、犯人であるSarcomaランサムウェアグループが6月29日に盗まれたデータをリークページに公開したと述べました。
同団体は、攻撃を検知した後、影響を受けたデータへのアクセスを取り消し、すべてのデータをバックアップで完全に保持していると説明しました。
侵入方法は依然として不明ですが、Radixはスイス連邦サイバーセキュリティ局と協力して攻撃の調査を進めています。
また、連邦データ保護・情報コミッショナー(FDPIC)、チューリッヒ州のデータ保護担当官、チューリッヒ市警察にも連絡を取りました。
「特に機微な個人データが関与した可能性がある場合、影響を受けた方々には個別に通知しています。現時点での知見によれば、パートナー組織の機微なデータが影響を受けた形跡はありません」と声明は述べています。
スイス政府のデータが流出した可能性
しかし、この後者のコメントはスイス政府自身によってすぐに異議が唱えられました。6月30日に発表された公開声明で、スイス連邦はRadixの顧客には複数の連邦機関が含まれていることを認めました。したがって、政府データが流出した可能性が高いとしています。
「現在、攻撃によって影響を受けた具体的な部署やデータの特定に向けた調査が進行中です。Radixは連邦行政システムへの直接アクセス権を持っていないため、攻撃者がこれらのシステムに侵入することは一切ありませんでした」とスイス政府の声明は述べています。
6月24日の声明で、スイス連邦公衆衛生局は、Radixの匿名相談サービスであるSafeZoneおよびStopSmokingは、非営利団体のメインネットワークとは別のインフラ上で運用されているため、今回の攻撃の影響を受けていないことを明らかにしました。
Radixは勧告の中で、今後数か月間、なりすましによるフィッシング攻撃の可能性に特に注意を払うよう呼びかけています。なりすまし犯が銀行や当局、同僚などの正規の送信者を装い、パスワードやクレジットカード番号、アクセス認証情報などを詐取しようとする可能性があるためです。
Ekcoのマネージドセキュリティサービス担当副社長であるリー・ドライバー氏は、この事件が「サイバー攻撃がもたらす波及効果を改めて思い起こさせるものだ」と強調しました。
「すでにダークウェブ上でデータが確認されていることから、今後、調査が進むにつれて、どの部署やデータセットが影響を受けたのか、さらなる影響が明らかになるでしょう。このような侵害は、単なる一時的な評価だけでなく、サプライヤーがどのように情報を保存・処理・保護しているかを継続的に可視化する、包括的な攻撃対象管理の重要性を強調しています」と同氏は付け加えました。
Sarcomaランサムウェアグループの背景
Sarcomaは2024年後半に初めて発見されたランサムウェアグループです。ランサムウェア追跡サイトRansomware.liveによると、同グループはこれまでに116件の被害を主張しており、そのうち米国で21件、イタリアで12件、カナダで11件が発生しています。
AttackIQのアドバーサリーリサーチチームのエンジニアリングマネージャーであるアンドリュー・コスティス氏は、「Sarcomaはダブルエクストーション(2重脅迫)戦術で知られており、情報漏洩を防ぐために身代金の支払いを強要する」とコメントしています。
同グループは、台湾のプリント基板メーカーUnimicronに対する2月のサイバー攻撃の犯行を主張しています。
Sarcomaが最も標的としている業界は製造業で、21件の被害が報告されており、次いでビジネスサービス業が11件となっています。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-radix-swiss-government/