Sophos Rapid Response チーム、ランサムウェア攻撃者が身代金を支払うよう 圧力を強める上位10通りの方法を発表

Sophos Press Release

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、「ランサムウェア攻撃者が身代金を支払うよう圧力を強める上位10通りの方法」と題する記事を公開しました。この記事では、ランサムウェア攻撃者が身代金を支払うように被害者を誘導するために、非情で冷酷な方法で圧力をかけている状況を詳しく説明しています。この記事は、サイバー攻撃をリアルタイムに受けている組織を24時間態勢で支援するインシデント対応チームであるソフォスのRapid Responseチームが実務で得た知見を元に作成されています。この記事では、ランサムウェアの攻撃者が被害者へ圧力をかける手法がデータを暗号化するだけのものから、従業員への嫌がらせ行為など、ユーザーの他の弱点も攻撃する手法へと複合的に変化していることを説明しています。

ソフォスのIncident Response担当ディレクターのPeter Mackenzieは次のように述べています。「組織は、データを定期的にバックアップしており、ファイルが暗号化されてもバックアップから復元する能力を向上させていることから、攻撃者は暗号化によって身代金を要求する手法に加えて、金銭を支払うよう圧力を強めるために新たに恐喝手段を行使しています。ソフォスのRapid Responseチームは、メールや電話で組織の従業員の名前を用いて、過去の懲戒処分、財務関連情報、およびパスポート情報などの攻撃者が盗んだ個人情報を共有し、従業員を脅して身代金を支払うよう恐喝する事例も確認しています。このような行動は、ランサムウェアが、システムやデータを標的する単純な技術的な攻撃から、人間も標的とする複合的な攻撃へと変化していることを示しています」

この記事では、SunCryptランサムウェアの関連組織が、標的となった組織の従業員に残したボイスメールの録音も含まれています(※被害を受けた組織の許可を得て掲載しています)。

攻撃者が支払いの圧力を強める方法

攻撃者がランサムウェア攻撃を受けた被害者に身代金を支払うよう圧力を強める上位10通りの方は以下の通りです。

  1. データを盗み出し、そのデータをオンラインで公開したりオークションにかけると脅迫する
  2. 経営幹部を含む従業員にメールや電話でアクセスし、個人情報を公開すると脅迫する
  3. ビジネスパートナー、顧客、メディアなどにデータが漏洩および流出したことを伝えると脅迫する 
  4. 被害者が警察に通報しないよう警告し、被害者を身動きできないようにする
  5. ネットワークのセキュリティを侵害するために社内の人間を雇って協力させる
  6. パスワードをリセットする
  7. 被害を受けた組織のメールアカウントを標的としたフィッシング攻撃を行う
  8. オンラインバックアップとシャドーボリュームコピーを削除する
  9. POS端末など、接続されているすべてのデバイスに身代金メモの物理的なコピーを印刷する 
  10. 標的組織のWebサイトに分散型サービス妨害(DDoS)攻撃を開始する

この記事では、それぞれの手法について、その手法を展開しているランサムウェア組織の事例と合わせて詳しく説明しています。また、攻撃者の行動や一般的なサイバー脅威から組織や従業員を守るために、防御しり側ができる対策のアドバイスも掲載しています。

攻撃者の行動、実環境で発生したインシデントのレポート、セキュリティ運用担当者のためのアドバイスなどは、Sophos News セキュリティ運用でご覧いただけます。

最新の脅威インテリジェンスを公開しており、さまざまなタイプのランサムウェアの戦術、技術、手順(TTP)を参照できます。

ソフォスについて

ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。