ClopランサムウェアグループのメンバーがOracleの顧客に送信したメールでは、サイバー犯罪者たちは金銭的な支払いのみに関心があると主張し、恐喝を政治的動機による攻撃ではなくビジネス取引として位置付けています。
恐喝メールは今週初め、被害を受けたとされる組織の幹部に送信され、攻撃者は被害者が自社のデータが盗まれたことを確認できるよう、希望があれば任意の3つのファイルやデータ行のコピーを提供すると主張しています。
「でも、心配しないでください」と、CyberScoopが木曜日に入手した恐喝メールには書かれていました。「支払いをすれば、あなたのデータは必ず守られます。私たちは政治的な権力を求めているわけでも、どんなビジネスにも関心はありません。」
メール全体にわたり、英語の文法やスペルの誤りが目立ちます。送信者は「CL0Pチーム」として自己紹介し、もしこの非常に悪名高い脅威グループを知らなければインターネットで検索するよう受信者に促しています。
この恐喝メールは、受信者を脅すこと、締め切りを設けて緊急性を持たせること、侵害の証拠を示すこと、そして恐喝の支払い交渉のための連絡先情報を提供することなど、複数の目的で作成されています。
「私たちは常にすべての約束と義務を果たします」とメールには書かれています。「あなたのビジネスを破壊することには興味がありません。私たちはお金を受け取り、二度とあなたに連絡しません。」
Clopはこれらの主張をリークサイトで公表していません。研究者たちは侵害が実際に発生したか、またこの脅威グループが攻撃の背後にいるかどうかをまだ確認できていませんが、メール内の連絡先情報は以前にもこのグループによって使用されたことがあります。
Oracleは、今回の攻撃疑惑について公式声明を発表しておらず、コメントの要請にも応じていません。
研究者によると、これらのメールは月曜日以前から、数百の侵害されたサードパーティアカウントから送信されていました。
「侵害されたアカウントは、さまざまな無関係の組織に属しています」と、Google Threat Intelligence Groupの主席アナリスト、オースティン・ラーセン氏はCyberScoopに語りました。「これは一般的な手法で、脅威アクターが正規アカウントの認証情報を入手し、しばしば地下フォーラムで販売されているインフォスティーラーマルウェアのログから取得し、自分たちのキャンペーンに正当性を持たせたり、スパムフィルターを回避したりするために使います。」
CyberScoopが入手したメールでは、送信者は自分たちが盗んだとされるデータを慎重に調査したと主張し、「推定される財務損失、評判への損害、規制上の罰金は、請求額を大きく上回る可能性が高い」と警告しています。
この手法は、過去の恐喝攻撃でも見られ、ハッカーが法的制裁など、侵害による付随的な影響を身代金支払いの理由として挙げています。
恐喝メールは、時間が限られており、数日以内にデータが公開されると脅迫する内容で締めくくられています。
「この情報をできるだけ早くあなたの経営陣やマネージャーに伝えてください」と攻撃者はメールで述べています。「取り返しのつかない事態になる前に行動することをお勧めします。」
メールの全文は以下の通りです:
親愛なる経営者様
私たちはCL0Pチームです。もし私たちのことをご存じなければ、インターネットで検索してみてください。
私たちは最近、あなたのOracle E-Business Suiteアプリケーションに侵入し、多くの文書をコピーしました。すべてのプライベートファイルやその他の情報は、現在私たちのシステムに保管されています。
でも、心配しないでください。支払いをすれば、あなたのデータは必ず守られます。私たちは政治的な権力を求めているわけでも、どんなビジネスにも関心はありません。
したがって、あなたのビジネスの評判を守る唯一の方法は、条件について話し合い、請求された金額を支払うことです。もし拒否した場合、上記のすべてのデータを失うことになります:一部はブラックマーケットのアクターに販売され、残りは私たちのブログで公開され、トレントトラッカーで共有されます。
私たちは常にすべての約束と義務を果たします。
私たちは入手したデータを慎重に調査しました。そして、残念ながら御社にとって、この分析は推定される財務損失、評判への損害、規制上の罰金が請求額を大きく上回る可能性が高いことを示しています。
下記に私たちの連絡用メールアドレスを記載します:
[検閲済み]
[検閲済み]
証拠として、ご希望の3つのファイルまたはデータ行をお見せできます。
また、あなたが会社の正当な代表者であることを確認した後、今後のステップについて話し合う準備もできています。
私たちはあなたのビジネスを破壊することには興味がありません。お金を受け取り、二度とあなたに連絡しません。
時間は刻一刻と過ぎており、数日以内に支払いがなければ、データを公開し、チャットを終了します。
この情報をできるだけ早くあなたの経営陣やマネージャーに伝えてください。
取引が成功し、支払いを受け取った後、私たちは以下を約束します
1) 技術的なアドバイス
2) あなたのデータを絶対に公開しません
3) ダウンロードしたすべてのデータを証拠付きで削除します
4) 何も漏洩しません
早く決断してください。返答がない場合、ブログに投稿します。最初に名前、すぐにデータです。取り返しのつかない事態になる前に行動することをお勧めします。
敬具 CL0P
翻訳元: https://cyberscoop.com/extortion-email-clop-oracle-customers/
