「World Leaks」として新たにリブランドされた恐喝グループが今月初め、Dellの製品デモンストレーションプラットフォームの1つに侵入し、現在同社に身代金の支払いを要求して恐喝を試みています。
DellはBleepingComputerに対し、この事件を認め、脅威アクターがCustomer Solution Centersプラットフォームに侵入したことを確認しました。このプラットフォームは、顧客向けにDell製品やソリューションをデモンストレーションするために使用されています。
「最近、脅威アクターが当社のSolution Centerにアクセスしました。これは、Dellの法人顧客向けに製品をデモンストレーションし、概念実証をテストするために設計された環境です」とDellはBleepingComputerに語りました。
「これは意図的に顧客やパートナーのシステム、ならびにDellのネットワークから分離されており、Dell顧客へのサービス提供には使用されていません。」
「ソリューションセンターで使用されるデータは主に合成(偽)データであり、製品デモンストレーションの目的でのみ使用される公開データセットやDellのスクリプト、システムデータ、機密性の低い情報、テスト出力などです。現在進行中の調査によると、脅威アクターが取得したデータは主に合成データ、公開データ、またはDellのシステム/テストデータです。」
World Leaksは攻撃中にこの環境からデータを盗みましたが、BleepingComputerが得た情報によると、これらのデータは製品デモや試用に使われる合成テストデータであると考えられています。
脅威アクターは、サンプルの医療データや財務情報が含まれているため価値のあるデータだと考えている可能性がありますが、これらのデータはすべて完全に作られたものであると報告されています。BleepingComputerが得た情報によると、攻撃で盗まれた唯一の正規データは、非常に古い連絡先リストのみです。
Dell Customer Solution Centersは、Dellの他の顧客向けネットワークや内部システムから分離されており、顧客にはラボに個人情報をアップロードしないよう複数回警告が表示されます。
BleepingComputerはDellに対し、どのようにして侵害が発生したのかを尋ねましたが、調査中であるためこの情報は共有できないと回答されました。また、身代金要求について尋ねた際も、Dellはこれ以上共有する情報はないと述べました。
World Leaksは、Hunters Internationalランサムウェアのリブランドであり、ファイル暗号化からデータ恐喝に特化するよう方針を転換しました。
Hunters Internationalは2023年後半にランサムウェアオペレーションとして開始され、コードの類似性からHiveのリブランドの可能性が指摘されていました。
それ以来、脅威アクターは世界中の組織に対して280件以上の攻撃を主張しています。
2025年1月、Hunters InternationalはWorld Leaksにリブランドし、ランサムウェアがもはや利益を生まずリスクが高いという懸念を理由に挙げました。
代わりに、脅威アクターは現在、カスタム開発のデータ流出ツールを利用し、恐喝攻撃でデータの窃取に注力しています。
World Leaksは開始以来、49の組織のデータを自らのデータリークサイトで公開しています。現時点でDellはリストに掲載されていません。
World Leaksの関係者は、最近のSonicWall SMA 100デバイスの脆弱性悪用にも関与しており、脅威アクターはカスタムのOVERSTEPルートキットをインストールしていました。
Macnicaの脅威リサーチャーである瀬島豊氏は、BleepingComputerに対し、World Leaksのデータリークサイトに掲載された46社のうち10社がSMA 100を使用していたと語りました。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の理解を得るには、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な会話と迅速な意思決定につなげましょう。