ルーマニアの国家水管理機関は日曜日、ランサムウェア攻撃を受け、職員が約1,000台のコンピューターシステムから締め出されたと発表した。
この攻撃はワークステーションからサーバーに至る機器に影響したが、国家サイバーセキュリティ総局は、ダムや洪水防御などの水理技術インフラを含む運用技術(OT)には影響がなかったと述べた。
水管理機関のインフラ全体で通常業務は継続しているものの、サイバー攻撃によりメールサーバーが影響を受けたため、職員は連絡手段として電話と無線を使用せざるを得ない状況となっている。
ホストネットワークの外部から暗号化ソフトを持ち込む従来型のランサムウェア攻撃とは異なり、ルーマニア当局の初期技術評価では、今回の攻撃者は正規のWindowsツールであるBitLockerを用いて組織を身代金で脅そうとしたとみられている。
いわゆるLOLBins(living off the land binaries)— 既存のWindowsツールなど — の使用は、攻撃者が被害者のネットワークを横断し操作する際にセキュリティ制御を回避するのに役立つ。
カスペルスキー・ラボが昨年公表した調査では、メキシコ、インドネシア、ヨルダンの被害者を標的とする、こうしたランサムウェア攻撃の波が特定された。対象には、鉄鋼およびワクチン製造の企業や政府機関が含まれていた。
昨年、サイバーセキュリティ企業Bitdefenderは、正規のBitLockerツールをシステム利用者に対して悪用するために使われるスクリプトであるShrinkLockerマルウェアが、レガシーなWindowsシステムを標的とした「より単純な攻撃」のために「複数の個別の脅威アクター」によって使用されていると述べた。
ルーマニアのサイバーセキュリティ機関によると、攻撃者は7日以内に連絡するよう求める身代金要求メモを出している。同機関は、被害者がサイバー恐喝犯と関与したり交渉したりしないことが、自らの「方針であり厳格な推奨」だと強調した。
翻訳元: https://therecord.media/romania-national-water-agency-ransomware-attack
