ランサムウェア集団Qilinは、サイエントロジーに対するIT侵入とデータ窃取を発表しました。より詳細な情報はまだ不足していますが、個人情報や機微情報を含む文書のスクリーンショットがいくつかあり、これが証拠だとされています。
Qilinのダークネット上のリークサイトに掲載された、盗まれた文書の一部のスクリーンショットによれば、このサイバーギャングは、多くの人々からカルトと見なされているサイエントロジー組織の英国におけるITシステムに侵入したことが示唆されています。そこには英国ビザの費用承認が見つかるほか、メンバーの一覧(口座残高や組織内でのレベルを含む)もあり、対象はイングランドに限らず、例えば南米の人々も含まれています。
Qilinは「提供したチャネルを通じて企業の代表者が連絡してこない限り、完全なリークはまもなく公開される」と述べています。
Qilinは最も活発なサイバーギャングの一つで、著名企業を含む多くの侵入の責任を負っています。日本のアサヒビールへの攻撃の背後にもおり、これによりビール供給不足が発生しました(https://www.heise.de/news/Asahi-Brauerei-Daten-von-fast-2-Millionen-Personen-abgeflossen-11096297.html?from-en=1)。
Qilinは通常、支払いが大きい次の3種類の標的を狙います:
- 製造業
- 法務・専門サービス
- 金融サービス
また、重要インフラや資金力のある大規模組織も定期的に標的にしており、オンラインのウェブサイトを使って潜在的な支払い額を事前に見積もり、高額な金銭的機会に焦点を当てています。
FBIの報告書では、2024年に1,700件を超えるランサムウェア攻撃が確認され、報告された収益の合計は9,100万ドルに上るとされています。しかし、サイバー恐喝のエコシステムは不透明で報告漏れも多いため、実際の数字はさらに高い可能性が高いです。米国保健福祉省(HHS)も、複数の被害者におけるQilin関連の損失を報告しており、被害額は600万ドルから4,000万ドルに及び、主に南北アメリカの医療機関および政府機関に影響が出ています。
初期アクセスの一般的な手段は次のとおりです:
- スピアフィッシング
- リモート監視・管理(RMM)ソフトウェアの悪用
- ラテラルムーブメント(横展開)とエクスプロイト
- 多要素認証(MFA)ボミング
- SIMスワップ
Qilinには次の機能があると報告されています:
- Chrome拡張機能スティーラー
- 暗号化の強化 (より高速で、より安全で、どうやら復号はほぼ不可能)
- AES-256-CTR – 256ビット鍵とカウンタ(CTR)モードで動作するAdvanced Encryption Standard(AES)。
- 最適非対称暗号パディング(OAEP)によりセキュリティを強化し、特定の攻撃に対する耐性を高めます。
x86アーキテクチャ向けのAES-NI(Advanced Encryption Standard New Instructions)機能により、AESの暗号化・復号処理を高速化します。
- 現代的で高速かつ安全なストリーム暗号通信のためのChaCha20。
- AES-256-CTR – 256ビット鍵とカウンタ(CTR)モードで動作するAdvanced Encryption Standard(AES)。
- セキュリティ回避
- フォレンジック証拠およびIR(インシデント対応)調査・対応を妨げるため、Windowsのイベントログを消去し、自身を削除します。
- バックアップ破壊
- 支払いを強要して復旧を妨げるため、Windowsのボリュームシャドウコピーサービス(VSS)を削除します。
翻訳元: https://tordaily.com/ransomware-crew-qilin-steals-data-from-scientology-cult/
