FBIは、病院、学区、重要インフラを脅迫することで知られる悪名高いランサムウェア集団を阻止するために計画された1ヶ月にわたるキャンペーンの結果を明らかにした。木曜日、FBIはドイツとオランダの法執行機関と協力し、犯罪集団「Hive」がメンバーとの通信に使用していたサーバーを掌握し、被害者への脅迫能力を遮断したと発表した。
このグループのダークウェブサイトには現在、英語とロシア語の両方で「この非公開サイトは押収されました。連邦捜査局(FBI)は、Hiveランサムウェアに対する協調的な法執行措置の一環として、このサイトを押収しました」というメッセージが表示されています。
参照:ランサムウェア攻撃は減少しているが、企業は依然として脆弱である(TechRepublic)
別のメッセージによれば、この措置は、フロリダ州中部地区の米国検事局と司法省のコンピュータ犯罪および知的財産局が、ユーロポールの多大な支援を受けて行ったものである。
ジャンプ先:
- ウェブサイトの削除は最新の措置
- ハイブの歴史
- ハイブの戦術
- ランサムウェア集団を倒すための課題
- ランサムウェア対策の推奨事項
Hiveのウェブサイトの削除は最新の措置である
Hiveウェブサイトの閉鎖は、同グループの活動を妨害するための一連の措置の最新のものに過ぎない。FBIによると、2022年7月下旬以降、同グループのコンピュータネットワークに侵入し、暗号解読キーを盗み出し、世界中の被害者に提供してきたという。
Hiveの被害者に復号鍵を提供することは、総額1億3000万ドルの身代金支払いを免れたため、極めて重要な措置です。FBIのキャンペーン開始以来、Hiveの攻撃を受けている被害者には300以上の復号鍵が提供され、過去の攻撃の被害者にも1000以上の復号鍵が提供されました。
「サイバー犯罪者は高度な技術を駆使して、世界中の罪のない被害者を食い物にしています」と、フロリダ州中部地区連邦検事ロジャー・ハンドバーグ氏は述べた。「国内外の法執行機関のパートナーによる並外れた捜査活動と連携のおかげで、Hiveによるさらなる恐喝は阻止され、重要な事業運営は中断することなく再開され、数百万ドルに上る身代金の支払いは回避されました。」
ハイブの歴史
2021年に出現したHiveは、一連の攻撃を開始し、瞬く間に最も活発で著名なランサムウェア集団の一つとなりました。HiveはRaaS(ランサムウェア・アズ・ア・サービス)モデルを採用し、必要なランサムウェアツールと技術を開発し、その後、攻撃を実行するためのアフィリエートを募集します。FBIによると、身代金が支払われた後、Hiveのアフィリエートと管理者は、その金を80/20で分配します。
HiveはRaaSモデルを用いて、病院、学区、金融機関、重要インフラなど、様々な分野を標的にしてきました。2021年6月以降、このグループは世界中で1,500人以上の被害者を標的とし、1億ドル以上の身代金を要求しています。
ハイブの戦術
Hiveは二重の恐喝戦術で知られています。攻撃者は、被害者がデータにアクセスできないようにデータを復号するだけでなく、身代金を支払わない場合は情報を公開すると脅迫します。このグループはすでに、被害者から盗んだデータをリークサイトで公開しています。
米国サイバーセキュリティ・インフラセキュリティ庁によると、Hiveの関連企業は様々な方法で標的のネットワークにアクセスします。場合によっては、攻撃者はリモートデスクトッププロトコル、仮想プライベートネットワーク、その他のリモート接続プロトコルを使用したシングルファクタアカウントログインを通じて侵入します。
また、FortiToken認証製品の脆弱性を悪用するケースもあります。また、悪意のあるファイルを添付したフィッシングメールを送信するという手口もよく見られます。
ランサムウェア集団を倒すための課題
ランサムウェアグループは、メンバーが別のグループや別の立場で再び現れる傾向があるため、完全に撲滅することは困難です。しかし、FBIをはじめとする法執行機関は、複数の方面からランサムウェアグループを攻撃する取り組みを行っています。
「これは確かに勝利ではあるが、ランサムウェアの終焉ではない」と、セキュリティコンサルティング会社NCCグループのインフラセキュリティ担当プラクティスディレクター、ジョーダン・ラローズ氏は述べた。「REvilの再出現はすでに確認されており、Hiveも何らかの形でそれに追随する可能性が高い」
参照:2022年最も危険で破壊的なランサムウェアグループ(TechRepublic)
「しかし、このような摘発は、間違いなく攻撃者と潜在的な被害者を抑止し、攻撃者に金銭を支払うことの長期的な影響に対する認識を高めることになるだろう。」
ラローズ氏は、世界中の様々な法執行機関間の連携と協力が、ランサムウェア攻撃者との戦いに勝利するための鍵であると付け加えた。また、セキュリティ専門家がFBIなどの組織に重要な脅威情報を提供できることも大きな助けとなる。
ランサムウェア対策の推奨事項
「だからこそ、脆弱な組織にとって、攻撃を受けた後、システムを復旧させることが最優先事項となるのです」と、災害復旧会社Zertoの製品マーケティング担当副社長、キャロライン・シーモア氏は述べています。「サービスプロバイダーが機能停止に陥り、身代金と引き換えにデータへのアクセスを奪われた場合、反撃し、システムを復旧させる最善の方法は、システムを混乱から守り、即時復旧への道筋を提供する復旧ソリューションを導入することです。」
しかし、多くの組織はデータの復元に1日、あるいは1週間前のバックアップに頼っているとシーモア氏は付け加えた。これはデータの欠落や損失につながり、ビジネスに影響を与え、全体的な復旧コストを増加させる可能性がある。
「重要なのは、攻撃が発生する直前の時点まで時間差なく復旧できる粒度で、常時稼働するソリューションを持つことです」とシーモア氏は述べた。「最善のソリューションは、継続的なデータ保護を行い、貴重なデータをリアルタイムで保護し続けるソリューションです。」
次に読む:年末のランサムウェアの嵐を受けて、リーダーたちは2023年の大混乱に備えて準備を整えている(TechRepublic)
