世界的スポーツウェアメーカーのNikeは、WorldLeaksと呼ばれるランサムウェアグループによるサイバー攻撃を受けた疑いが浮上している。同グループはリークサイト上で侵害の責任を公に主張している。
同グループの発表によれば、盗まれたデータは今週土曜日の午後6時に公開される予定であり、セキュリティ研究者が企業組織を標的とした、ますます攻撃的な恐喝キャンペーンだと特徴づける動きがエスカレートしていることを示している。
WorldLeaksランサムウェアグループは、通常、被害者を告知しデータ公開の予定を掲示して身代金支払いを迫る運用上のリークサイトに、この主張を投稿した。
現時点でNikeは侵入を確認する詳細な公式声明を出しておらず、またセキュリティ研究者やインシデント対応企業による独立した技術的検証も公表されていない。
流出したデータの正確な範囲や内容は未確認のままだが、WorldLeaksはNikeの内部情報を相当量入手したと主張している。
WikiLeaksの運用に関する過去の分析に基づき、セキュリティアナリストは、盗まれたデータセットが数百GBから複数TBに及ぶ機微情報になり得ると見積もっている。
WikiLeaksの運用モデルを採用するランサムウェアグループは、通常、次の3つの主要ベクターのいずれかを通じて初期アクセスを獲得する:侵害されたVPN認証情報、インターネットに公開されたアプリケーションの脆弱性の悪用、または従業員や取引先を標的としたスピアフィッシングキャンペーン。
境界内に侵入すると、脅威アクターはラテラルムーブメントを実行し、暗号化ペイロードを展開する前に高価値データを特定して持ち出す。
持ち出し(エクスフィルトレーション)段階では通常、データの集約、圧縮、攻撃者が管理するサーバーへのアップロードが行われる。
この手法により、犯罪者は暗号化の成否とは独立して恐喝のレバレッジを維持できる。データ窃取だけでも身代金要求に十分な圧力となる。
具体的な内容は不明だが、この規模の企業侵害で一般的に収集されるデータセットには、社内の企業文書、戦略的な事業ファイル、従業員の個人情報、顧客連絡先データベース、サプライヤーおよびパートナーとの通信、商業契約、人事記録(従業員の機微データを含む)などが含まれる。
WikiLeaksが予告されたデータを公開した場合、その影響は複数の利害関係者グループに及ぶ可能性がある。露出した従業員記録は、標的型フィッシングやなりすまし詐欺を可能にし得る。
顧客およびパートナー情報は、ソーシャルエンジニアリング攻撃やサプライチェーン侵害を助長する可能性がある。
戦略文書の開示は競争上の立ち位置を損ない、機微な事業運営を露呈させる恐れがある。
脅威インテリジェンスチームおよびインシデント対応者は、公表されたデータがあれば、その真正性を検証し、侵害範囲を定量化し、関連する個人や組織への下流リスクを評価するための分析を開始する可能性が高い。
Nikeと取引関係のある組織は、通知の可能性に備えるとともに、代替のインシデント対応プロトコルを準備しておくべきだ。
翻訳元: https://cyberpress.org/nike-allegedly-breached-by-worldleaks-ransomware-group-in-major-cyberattack/