ランサムウェア集団、イングラム・マイクロに「8月1日までに支払え」と要求

Safepayランサムウェア集団は、ITディストリビューターのイングラム・マイクロに対し、金曜日までに支払わなければ、同社から盗んだとされる3.5TBのデータを公開すると通告しました。

この脅迫は今週現れ、カナダ拠点の脅威インテリジェンスアナリスト、Emsisoftのルーク・コノリー氏によると、集団のデータリークサイトにカウントダウンクロックとともに同社が掲載されています。

今月初めに報じた通り、7月3日頃に始まったランサムウェア攻撃により、国際的なディストリビューターである同社は数日間のシステム停止に見舞われました。

イングラム・マイクロには今回の事態についてコメントを求めていますが、記事掲載時点では返答はありませんでした。同社は攻撃に関する最新の声明で、7月9日には事業を展開するすべての国と地域で業務が再開していると発表しています。

Safepayは独自に活動

Emsisoftのコノリー氏によると、Safepayは現在ダークウェブのデータリークサイトに265件の被害者を掲載しています。これは1年未満の活動期間としては多い数字であり、同氏はメールでそう述べています。この集団は2024年9月に確認されました。

Safepayは過去にLockBitランサムウェアを使用したことがありますが、LockBit集団とのその他の関係は不明だとしています。

同集団のサイトには、「ランサムウェア・アズ・ア・サービス」ではない、つまりITネットワークの特定や初期侵害を行うアフィリエイトがいないことを誇示する記載があります。

「一部のランサムウェア集団は注目を集めようとしますが、Safepayは控えめな活動を好むようです。これは、著名なランサムウェア集団の背後にいる人物の特定に成功した法執行機関の活動が影響している可能性があります」とコノリー氏は述べています。

これがアフィリエイトを使わない理由の一つかもしれない、と同氏は付け加えました。

NCC Groupが今年第2四半期のサイバーインシデントについて発表した最近のレポートによると、Safepayはこの3カ月間でQilin、Akira、Playに次ぐ4番目に大きなランサムウェア集団でした。しかし5月単月で見ると、70件の攻撃を主張しており、同月で最も活発な脅威グループとなりました。

NCC Groupによれば、同集団の既知の被害者には、1.2TBの企業データが流出し、仮想マシンが暗号化された物流テクノロジー企業Microliseが含まれています。

ランサムウェア攻撃が増加

今週発表されたZscaler ThreatLabzのランサムウェアに関するレポートによると、全ランサムウェアリークサイトに掲載された組織数は、4月までの12カ月間で70%増加しました。

データの暗号化をやめ、単なるデータ恐喝に移行するランサムウェア運営者が増えていると指摘されています。例えば、Hunters Internationalは6月にランサムウェア活動を停止し、恐喝のみの集団「World Leaks」になると発表しました。

国際的な法執行機関がランサムウェア集団に対して一定の成果を上げているにもかかわらず、Zscalerの研究者は分析期間中に34の新たなランサムウェアファミリーを確認し、調査開始以降追跡している総数は425に達しました。最新の集団の一つはWorld Leaksと名乗っており、Hunters Internationalから派生したと考えられています。

Zscalerレポートの主な発見事項

• Hunters International（以前はFBIによって壊滅させられる前のHive）は、年間でのデータ盗難総量が37.7TBから122TBへと大幅に増加しました。被害者1件あたりの中央値も約300GBから359GBに上昇しています。

• DragonForceは、総流出量で4.2TBから20.3TBへと最も大きな増加率を記録しました。

• Dark Angelsは、被害者1件あたりの中央値が5TBと最も高くなっています。これは、同集団が全体の件数は少なくとも、大規模かつ高価値の標的に注力し続けていることを示しています。

CSO（最高情報セキュリティ責任者）は、Zscalerレポートによれば、ランサムウェア集団が重要な企業向けテクノロジーの脆弱性を利用して攻撃を実行するケースが増えていることに注意すべきです。

「これらの脆弱性のほとんどは、インターネットに公開されているアプリケーションであり、基本的なスキャン技術で簡単に発見できます」とレポートは述べています。「主な標的はVPN、バックアップシステム、ハイパーバイザー、リモートアクセスツール、ファイル転送アプリケーションなど、組織全体で広く利用されている運用に不可欠なテクノロジーです。」

ランサムウェア攻撃への対策がまだ整っていないCSOは、Institute for Security + TechnologyのBlueprint for Ransomware Defenseを参考にするとよいでしょう。これは、Center for Internet Security Critical Security Controlsから厳選された重要なサイバー衛生対策のサブセットです。

データへのアクセスを取り戻すために身代金を支払うべきかどうかについては、各国政府は被害者に屈しないよう促す一方で、流出したデータの機密性が判断材料になることも認めています。また、犯罪者が支払い後に盗んだデータを破棄すると約束しても、それが必ず守られるとは限らないことも経営陣は理解しておくべきです。

それにもかかわらず、4月に報じた通り、Rubrik Zero Labsの調査によれば、過去12カ月間にサイバー攻撃を受けた組織の86%が身代金の支払いに応じたと回答しています。