トレンドマイクロ報告:被害者ゼロ、DarkSide騙る稚拙すぎるサイバー犯罪者の脅迫メール日本語訳
トレンドマイクロ株式会社は6月23日、「偽DarkSide」の脅迫キャンペーンについて同社ブログで解説した。
脆弱性と脅威
脅威動向
5月に大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題となったが、本件は「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、注目を浴びることになった。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえ、実際に「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことを同社では確認している。
「DarkSide」を騙る偽物が送信した脅迫メールの日本語訳は以下の通り。
---DarkSideを装った攻撃者が送信した脅迫メールの日本語訳
件名:<企業名>のサーバをハッキングした
DarkSideからのメッセージを伝える。 われわれは、お前たちのサーバをハッキングし、時間をかけてすべての会計報告にアクセスすることができた。多数の財務書類やその他のデータにもアクセスした。これらが暴露されればお前たちの評判に大きく影響するぞ。ハッキングは、簡単ではなかったが、お前たちのネットワークセキュリティ担当者のヘマのおかげで成功した。われわれのことは、JBS社への攻撃に関する報道などで知っているだろう。 機密情報が暴露されたくなかったら、おとなしく100ビットコインの身代金を払うことだ。よく考えてみることだ。これらの機密文書は、簡単に入手できるとなると、一般人だけでなく、税務署やその他の組織も興味を持つだろう。数日の猶予を与える。それまでにしっかり対応することだ。 このビットコインウォレット<省略>から支払え。
---
同社にて脅迫メールに使用されている内容を精査したところ、メール自体はDarkSideからのものではなく、ランサムウェア「DARKSIDE」の活動にまつわる一連の事例に便乗して利益を得ようとする別の低いレベルの攻撃者、いわば偽DarkSideの仕業であるものと考えられると指摘している。
同社によると2021年6月4日から脅迫メールによる攻撃キャンペーンが開始され、毎日複数の企業の一般的なメールアドレス宛に送信されている。脅迫メール末尾に記載のビットコインウォレットは、どの標的に対しても常に同じものが使用されており、2021年6月18日時点で、当該ウォレットでのビットコインのトランザクションは確認されておらず、支払った被害者はいないと考えられるとのこと。
さらに企業を狙った脅迫メールの送信に加えて、同一の攻撃者が複数の企業のWebサイトの問い合わせフォームから脅迫メールの内容と同一のものを入力している事実も確認されている。
同社では本物のDarkSideとの違いとして、脅迫メールに実際に機密情報を入手したことを証明するような内容が一切書かれていないこと、標的となる企業のネットワーク上のファイルなどのコンテンツが一切暗号化されていないこと、脅迫メールにある自分たちの攻撃キャンペーンの被害者としてJBS社を挙げているがランサムウェア「REvil(別名Sodinokibi)」を扱うDarkSideとは別の攻撃者であることを挙げ、本物のDarkSideの活動に比べて素人である印象を受けると切って捨てている。
《ScanNetSecurity》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
Windows DNS の脆弱性情報が公開
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず