ウィンリゾーツ、盗まれた従業員データの削除を攻撃者の言葉のまま信じている

ウィンリゾーツは、従業員データがサーバーから盗まれたことを確認し、ハッカーが削除したというその言葉を信じている。

恐喝がどのように展開するかに精通している人なら誰でも、それは大胆な信仰の飛躍である。しかし、ウィンは十分に満足しているようで、多作のサイバー犯罪グループShinyHuntersが先週の攻撃の責任を主張して以来、最初の公式声明にこの保証を含めた。

「認可されていない第三者が従業員データの一部を取得したことを知りました」と、ウィンリゾーツのスポークスマンがThe Registerに語った。「発見時に、私たちは直ちにインシデント対応プロトコルを開始し、外部のサイバーセキュリティ専門家の助けを借りて徹底的な調査を開始しました。

「認可されていない第三者は、盗まれたデータが削除されたと述べています。私たちは監視しており、現在まで、データが公開されたか他の方法で悪用されたという証拠は見ていません。」

Huntressのセキュリティ運用シニアマネージャーであるDray Aghaが指摘したように、悪人が盗まれたデータを削除したことを「確認」すると、身代金が支払われた可能性があることを示唆していますが、ウィンはこれについての質問には答えませんでした。

「サイバー犯罪者を信頼することは本質的に欠陥があります。泥棒の間には名誉がない」とAghaはThe Registerに語った。「恐喝者が盗まれたデータを完全に削除したことを検証する確実な方法は全くありません。コピーは数か月後にしばしば保持され、共有され、または売却されます。」

彼は次のように付け加えた。「削除の保証を提供する攻撃者は、完成した恐喝交渉の古典的な特徴です。現代のサイバー犯罪のビジネスモデルでは、『削除』はこれらのカルテルが財務的要求が満たされた後に提供すると主張するサービスです。」

世界中にラグジュアリーホテルチェーンを運営しているウィンリゾーツは、この攻撃は業務やゲストの滞在に影響を与えなかったと述べた。

また、すべての従業員に無料のクレジット監視と身元保護を提供しており、典型的な侵害後の言葉遣いで、データセキュリティが「当社の最優先事項である」と保証しています。

Aghaは、従業員にクレジット監視を提供するウィンの決定は、サイバー犯罪者の言葉をどの程度信じられるかを示していると述べた。

「従業員にクレジット監視を提供するウィンの決定は必要で慎重な決定であり、脅威アクターの『約束』は実質的なセキュリティ価値がゼロであることを認識しています」と彼は述べた。「ウィンからの明確な確認なしに、身代金が支払われたことを明確に確認することはできません。」

常連読者は、2024年のLockBit流出と、当時英国の国家犯罪局(NCA)がランサムウェア活動の評判を傷つけようとした方法を思い出すかもしれません。

ギャングのリークサイトをそれに対して使用することで、その内部の秘密を露出させることで、NCAはセキュリティ実務家の間で長く抱かれていた、身代金が支払われた後もサイバー犯罪者がデータを削除しないという疑いを確認しました。

「どの企業もサイバー攻撃のリスクを完全に排除することはできませんが、私たちは適切な手段を講じており、業界をリードする第三者のITアドバイザーと協力して、将来のインシデントに対する保護を強化しています」とウィンの声明は結論づけました。

ShinyHuntersは2月20日にウィンへの攻撃を主張した。当時報告したように、The Registerと共有された盗まれたデータのサンプルは正当なものに見え、職員のフルネーム、メールアドレス、電話番号、職務内容、給与、開始日、生年月日、および他の個人情報が含まれていました。

サイバー犯罪者は、Oracle PeopleSoftの脆弱性を悪用し、スタッフの認証情報を使用することで、2025年9月にさかのぼってウィンを侵害したと主張しました。

ShinyHuntersはScattered Spiderとは別ですが、ゆるく提携しており、Scattered Spiderは2024年にラスベガスのホテルとカジノに対するサイバー二重攻撃の責任がありました。

複数のScattered Spiderメンバーが、Caesars EntertainmentおよびMGM Resortsへの攻撃に関連して逮捕されました – 2024年の一部と、攻撃から1年以上後の一部。®