ランサムウェアを展開する組織は大きなものとなっています。
分業化が進み、各要素が連携して動作できた際に全体として効果を発揮するものとなります。
どこの部分が最も重要か、などと評価をすることは容易ではありませんが、重要な部分の一つに初期アクセスは分類されるかもしれません。
きょうは、そんな初期アクセスに関するお話です。
Medusaという名称で認識されているランサムウェア集団があります。
彼らはいくつもある大規模なランサムウェア集団の一つです。
最近、彼らはBBC(英国放送協会)をターゲットとすることを計画したようです。
ある一人の人物がその計画の初期アクセス部分として目星をつけられたようです。
その人はBBCの関係者でした。
脅威アクターはその人物にさまざまな連絡をしました。
- BBCシステムへのアクセスを提供すれば15%あげるよ
連絡はメッセージングアプリのSignalでやってきました。
彼らの提案は、MedusaにBBCのシステムへのアクセス情報を提供すれば、BBCが支払った身代金の15%を支払うという申し出があったのです。
BBC関係者は提案には応じませんでした。 - 10%アップするよ
合意が得られないことを認識した脅威アクターは報酬額の上乗せを提案してきました。
最初に言っていた内容よりも金額を10%アップするというのです。
そしてBBCへ伝えることになる身代金の金額は数千万ドルになるだろうという話が出てきました。
身代金金額に受取割合を計算すると大きな金額になることが容易に想像できます。
金額の大きさで合意を得ようというわけです。
BBC関係者は提案には応じませんでした。 - 匿名だから大丈夫だよ
合意がなかなか得られない脅威アクターは別の安心材料を提供しようとしてきました。
BBCシステムへのアクセスを提供してくれて攻撃が成立したとしても、あなたの名前は秘密にするよ、というのです。
犯罪に加担したことが明らかにならないから、あなたはお金はもらえるけど安心してください、という話です。
実際にあった過去の事例の話を例として説明し、内部協力者の情報が公開になっていない旨を説明しました。
BBC関係者は提案には応じませんでした。 - 確実に渡すよ
次に、合意が得られない理由に協力者がお金を受け取れない不安があるのではないかと脅威アクターは想定しました。
そして金銭のやりとりに、エスクローを使うことを提案してきました。
エスクローで提示された金額は0.5BTCでした。2025年9月末頃時点で日本円で約850万円くらいに相当します。
目の前にニンジンを、ということでしょうか。
BBC関係者は提案には応じませんでした。 - もういいです、MFAアタックするから
脅威アクターは我慢ができなくなってきました。
BBC関係者の連絡先に次々にMFA(多要素認証)攻撃を仕掛けてきました。
すでに脅威アクターはこのBBC関係者の認証情報のうちのユーザ名とパスワードは入手済みだったのでしょう。
ログインを試行する機構を自動スクリプトに実装し、多数の認証の試みを発生させました。
もちろん身に覚えのないBBC関係者はこの多要素認証のダイアログに許可することはしませんでしたが、誤って許可してしまうことやあきらめて許可してしまうことを狙った活動なのでしょうか。
MFA攻撃は大量に実施されました。
BBC関係者はBBCの情報セキュリティチームに連絡し、予防措置として組織のインフラから完全に切断された状態にすることを選びました。
BBC関係者は提案には応じませんでした。 - ごめんなさい、でも一緒にやろうよ
脅威アクターはMFA攻撃を実施したことを謝罪しました。
そして一緒にやろう、まだ数日間待つよ、と連絡してきました。
BBC関係者は数日間連絡しませんでした。
ここまで長くアプローチが続きましたが、ついに脅威アクターはSignalアカウントを削除しました。
誘いの手口にはいろいろな要素があります。
それでもなおサイバー犯罪者の戦術は進化し続けます。
‘You’ll never need to work again’: Criminals offer reporter money to hack BBC
https://www.bbc.com/news/articles/c3w5n903447o
| この記事をシェア |
|
|---|
表紙.png)
