Barracuda Networksの研究者によると、詐欺師が企業から金銭を脅し取るためにClopランサムウェア集団になりすましている事例が確認された。
この事件は、著名なランサムウェア攻撃者になりすまし、機密データを流出させたと主張して標的から支払いを脅し取ろうとする詐欺師の増加傾向の一部だ。
恐喝メールでは、攻撃者はマネージド・ファイル転送企業Cleoの脆弱性を悪用し、被害企業のネットワークに不正アクセスを確保したと主張した。
これにより、サーバーからデータをダウンロードして持ち出すことができたという。
脅威アクターは、自らの主張の信憑性を高めるため、この手法でClopがCleoの顧客66社からデータを盗んだと報じたメディアのブログ記事へのリンクを含めていた。
マネージド・ファイル転送ソフトウェアの脆弱性を悪用する手口は、Clopが多数の被害者を一斉に狙う際に一般的に用いてきた戦術だ。
偽メールでは、支払いをしなければ盗まれた情報をClopの「ブログ」に公開すると被害者に告げていた。
複数の連絡用メールアドレスが提示され、被害者に連絡するよう促していた。
Barracudaの研究者は、このメールには詐欺の典型的な特徴があり、本物のClopの恐喝要求に見られる要素が欠けていると述べた。
「メールに、48時間の支払い期限、身代金支払い交渉のための安全なチャットチャンネルへのリンク、侵害された企業のデータの一部名称といった要素が含まれている場合、実際のClopランサムウェアに対処している可能性が高く、直ちにインシデントを緩和するための措置を講じる必要がある」と彼らは記している。
これらの要素が欠けている場合、詐欺に遭っている可能性が高いと研究者は付け加えた。
偽のClop恐喝メールは、正当なものに見せかけるため、実際のClopランサムウェア攻撃に関する報道を参照する可能性が高い。
この調査結果は、GuidePoint SecurityとFBIが、BianLianランサムウェア集団からのものだと称して詐欺師が企業に恐喝状を送っていることを明らかにした直後に出たものだ。
その中で送信者は、受信者の企業ネットワークを侵害して機密データを盗んだと主張し、本物のランサムウェアの身代金要求文の脅しを模倣している。
検知を回避するフィッシング攻撃
Barracudaの3月のEmail Threat Radar レポートでも、過去1か月にわたり、従来のセキュリティ防御を回避するよう設計された手法を用いたフィッシング活動が確認された。
これには、LogoKitというフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、緊急のパスワードリセットに関するものだと称する悪意あるメールを配布していることが含まれる。
LogoKitは2022年から活動しており、被害者とのリアルタイムのやり取りが可能だ。つまり、被害者が認証情報を入力している最中に、攻撃者がフィッシングページを動的に適応させることができ、ウェブサイトをより正規のものに見せかけられる。
このプラットフォームは、人気のメッセージングサービス、ソーシャルメディア、メールプラットフォームとも連携してフィッシングメッセージを配布できる。この汎用性により、活動の検知は困難になる。
LogoKitが関与する最新のフィッシング活動では、脅威アクターが「Password Reset Requested」または「Immediate Account Action Required」というヘッダーの、本物らしく見えるメールを配布した。
これらは、受信者に想定される問題を解決するためリンクを素早くクリックするよう促すよう設計されている。しかし実際には、LogoKitがホストする動的に生成されたフィッシングページへ誘導され、被害者が接続していると信じているサービスのログインポータルやパスワードリセットページと同一に見えるよう作られている。
被害者はログイン認証情報の入力を求められ、それが攻撃者に取得される。
Barracudaはまた、フィッシング攻撃におけるScalable Vector Graphics(SVG)添付ファイルの使用が引き続き増加しているとも報告した。
SVGには、コンピュータ上で拡大縮小可能なベクターベース画像を描画するための、Extensible Markup Language(XML)に似たテキスト命令が含まれている。
これらのファイルは、埋め込みスクリプトを含められる能力があり、セキュリティツールにとって不審に見えにくいため、悪意あるペイロードを配信する手段として人気が高まっている。
翻訳元: https://www.infosecurity-magazine.com/news/fraudsters-clop-ransomware-extort/
