出典:Lazyllama / Alamy Stock Photo
KillSecランサムウェアグループは、ブラジルで最新の被害者を出し、身代金の要求が満たされなければ機密性の高い医療データを漏洩すると脅迫しています。
このグループはブラジルの医療業界向けソフトウェアプロバイダーであるMedicSolutionを攻撃し、9月8日に犯行声明を出しました。Resecurityによる攻撃の調査によると、盗まれたデータの総量は34GBを超え、94,000件以上のファイルが含まれています。その中には、検査結果、X線画像、編集されていない患者画像、未成年者の記録などが含まれています。Resecurityによる調査です。
攻撃の根本的な原因は、安全でないAWS S3バケットからのデータ流出でした。Resecurityの報告によると、攻撃の露出期間は数ヶ月前にさかのぼる可能性があります。
この攻撃は、国内の他の多くの医療機関にもリスクをもたらしています。MedicSolutionは、クリニックや医療機関が業務を管理するためのクラウドサービスを提供しています。この侵害は、MedicSolution上にプライベートな医療情報が保存されている患者、たとえば検査結果、医療評価、過去の病歴などに影響を及ぼします。
「ハッカーはサプライチェーンを攻撃することで、複数のターゲットを効率的に侵害し、大規模なデータ窃盗、身代金要求、支払いの転用によってより多くの利益を得ることができます」と研究者は述べています。「組織とそのサプライヤー間の信頼関係が、これらの攻撃を有利かつ防御しにくいものにしています。」
攻撃そのものと同様に懸念されるのは、研究者が侵害の影響を受けた複数の患者に連絡し、通知したところ、これらの患者は自分のデータが侵害されたことを誰も知らなかったという事実です。
侵害に関連するさらなる被害者
この悪名高いランサムウェアグループは、ブラジルだけでなく、Resecurityによると、MedicSolutionを被害者リストに加える数日前にも米国、ペルー、コロンビアの医療機関からデータを盗んだと主張しています。
さらにわずか1ヶ月前にも、脅威アクターはペルーの医療ソフトウェアプラットフォームであるDoctocliqからデータを漏洩させました。研究者によれば、このプラットフォームは20カ国以上で2,500以上の医療機関にサービスを提供しています。
Resecurityの報告によると、同社のHUNTERリサーチチームは、これらの攻撃の痕跡を公開されたS3バケットにまで追跡しました。「HUNTERチームのスペシャリストは、盗まれたデータを特定のS3ストレージ場所にマッピングでき、すべての公開ファイルのリストをプレーンテキストで把握していました」と報告書は述べています。KillSecが犯行声明を出した時点でも、これらのバケットは依然としてデータ流出の脆弱性がありました。
「KillSecは、ハクティビスト集団から変貌したサイバー犯罪グループです」とResecurityのCEO、Gene Yoo氏は述べています。「実際、同様の別名で知られる複数のグループや独立したアクターが存在し、DDoSによる機会的なウェブ改ざんからランサムウェアまで、さまざまな悪意ある活動を行っています。」
このグループの主な傾向のひとつは、公開されたクラウドリソースの悪用が増加していることです。Yoo氏によれば、これらのサイバー犯罪者はブラジルのデジタル化の進展と大きな経済変化に着目し、同国を標的にする頻度が高まっています。
「ラテンアメリカおよび南米発のサイバー犯罪の増加についても同じことが言えます」とYoo氏は述べています。
他の組織が同様の被害者にならないために、Yoo氏は継続的なサイバー脅威インテリジェンスの収集やデジタルリスクのモニタリング、特にサードパーティやそのサプライチェーンから発生する可能性のある脅威の検出を推奨しています。
「継続的なクラウドセキュリティの監視は、誤設定されたリソースや初期段階での情報漏洩を検出するために不可欠です」とYoo氏は付け加えます。「アタックサーフェスマネジメント(ASM)は、攻撃者に悪用される前に脆弱性を特定し、緩和することを可能にします。サーバー、アプリケーション、クラウドサービスなど、すべてのデジタル資産を継続的に監視することで、セキュリティチームは早期に弱点を発見し対処でき、サイバー攻撃のリスクを低減できます。」