Medusaランサムウェア集団を名乗る脅威アクターが、BBCの記者に多額の報酬を提示し、内部脅威となるよう誘惑しました。
サイバーセキュリティ担当記者のジョー・タイディ氏は、BBCの記事で、ハッカーたちが彼のノートパソコンを使って英国の公共放送局のネットワークに侵入し、身代金を要求しようとしていたことを明らかにしました。
一度BBCの内部システムにアクセスできれば、脅威アクターは貴重なデータを盗み出し、組織に身代金を要求する計画でした。支払われた身代金の少なくとも15%が、初期アクセスを提供したタイディ氏に支払われる予定でした。
タイディ氏によると、7月に「Syndicate(Syn)」と名乗るサイバー犯罪者からSignalを通じて連絡があり、最初はMedusaにBBCシステムへのアクセスを提供すれば、支払われた身代金の15%を提供すると持ちかけられたそうです。
その後、Synはさらに10%を上乗せすることで提案を魅力的にしようとし、「もし組織への侵入に成功すれば、チームは数千万ドル規模の身代金を要求できる」と述べました。
タイディ氏を引き込もうとする試みを続ける中で、Synは「もし組織への侵入に成功すれば、チームは数千万ドル規模の身代金を要求できる」と述べ、記者はもう働く必要がなくなり、身代金の分け前で生きていけるかもしれないと示唆しました。
出典:BBC
Medusaランサムウェアは2021年1月に登場し、二重脅迫攻撃や2023年の恐喝ポータルの開設で評判を得ました。
3月にはCISAがMedusaに関するレポートを公開し、同集団が米国の300以上の重要インフラ組織を攻撃したとしています。
同機関によると、Medusaの中核オペレーターはサイバー犯罪フォーラムやダークネットマーケットプレイスで初期アクセスブローカーをリクルートし、侵害後のフェーズに注力しています。
タイディ氏によれば、疑わしいランサムウェア集団の代表は、協力すれば匿名性を保証すると約束し、過去に話題となった複数の事件を引き合いに出し、これらは内部協力者がMedusaにターゲットネットワークへの簡単なアクセスを与えたものだと主張しました。
低賃金、不満、あるいは単に倫理観のないスタッフが、数百万ドルの損害を、数百ドル程度で引き起こすことがあり、一部の脅威アクターはそれを当てにしています。
LockBitのようなランサムウェア集団は、ここ数年、アクセスを売る意思のある不正従業員の可能性を模索しています。
Synはさらに、ハッキングが始まる前にハッカーフォーラムで0.5BTC(現在約5万5千ドル強)をエスクローとして提供することで、記者を説得しようとしました。
「私たちはハッタリや冗談ではありません ― メディア的な目的はなく、金のためだけです。私たちの主要なマネージャーの一人があなたに連絡するように言いました」とSynはSignalでタイディ氏に伝えました。
サイバーセキュリティニュースを担当するタイディ氏は、脅威アクターが自分をBBCのサイバーセキュリティ担当社員で高い権限を持っている人物と勘違いした可能性が高いと考えています。
Synは記者にスクリプトの実行を迫りましたが、タイディ氏が対応を遅らせると、記者のスマートフォンには二要素認証リクエストが大量に届き始めました。
これは「MFAボンビング」「MFA疲労」「MFAスパム」と呼ばれる手法で、ハッカーが被害者の認証情報で自動的にログインを試み、認証リクエストの嵐を発生させ、ターゲットが根負けしてログインを許可するまで続けます。
しかしタイディ氏は屈しませんでした。BBCの情報セキュリティチームに連絡し、予防措置として組織のインフラから完全に切り離されました。
その後、疑わしいMedusaの代表はログインリクエストについて謝罪し、提案は数日間有効だと伝えてきました。しかし記者が数日間返答しなかったため、脅威アクターはSignalアカウントを削除しました。
