Akamai Diversity

Akamai Japan ブログ

ランサムの猛威ふたたび:金融と小売業を標的とした古い攻撃者からの新たなDDOS恐喝の脅威

※ このBlog 記事は2020.8.17(2020.8.24に更新)に執筆されたAkamai SIRT Alertを翻訳した内容を元に作成しています。最新のアップデート内容は、元記事をご確認ください。

2020年8月24日更新

後述しますが、Akamai SIRTは、金融、旅行、eコマースなどのさまざまな業種にランサム(身代金要求)メールを送っている、Armada CollectiveおよびFancy Bearと呼ばれる攻撃者からの攻撃を追跡しています。

以前(下記オリジナルの投稿)のアドバイザリ情報に加えて、主な攻撃ベクトルに、ARMS、DNSフラッド、GREプロトコルフラッド、SNMPフラッド、SYNフラッド、およびWSDiscoveryフラッド攻撃を利用して、おおむね200 Gbpsがピークの攻撃となっていることを確認できます。結果として、これらの恐喝を伴う攻撃では、特定の地域が標的になっているわけではないようです。身代金要求を受け取った機関は、英国、米国や(日本を含む)アジア太平洋地域に所在しています。

現時点では、身代金要求の期限が過ぎた後に、脅迫で示唆された追加の攻撃が開始された事例は確認されていません。したがって、ここでの教訓は、標的となる組織が身代金要求を支払うかどうかにかかわらず、結果は同じであるということです。そのため、アカマイでは、これらの要求の対象となっている人々に、身代金を支払わないようお勧めしています。

同様に、これらの恐喝攻撃を実行するアクター(攻撃者)は、可能な限り少ない労力で、迅速な支払いを期待していると、いまのところ我々は考えています。

オリジナルのブログ投稿(2020年8月17日)

要約:

アカマイは、Fancy Bearおよび、Armada Collectiveであると名乗る人々によって引き起こされている新たな脅威を認知しています。彼らは現在、銀行業や金融業、そして小売業を含む複数のセクターをターゲットにしています。アカマイは引き続きこれらの悪意のある活動を監視し、攻撃からお客様を保護し続けます。

概要:

アカマイのセキュリティ・インテリジェンス・リサーチチーム(SIRT)は、先週またはその付近に起きた、複数のセクターにまたがるビジネスを標的とした、最近の一連のDDoS攻撃を調査しています。強要の要求内容は、過去にDDoSの身代金要求したグループが使用したものと類似しています。

レターの内容

最初のコンタクトは、脅迫的な電子メールから始まります。その内容は、身代金をビットコインで支払わないと、会社に対してDDoS攻撃が起きるぞという差し迫った警告です。強要レターの文面は、過去のDDoS攻撃キャンペーンの際に、メディアで発表された内容に酷似しており、アカマイが2019年11月に文書化した、DDoS脅迫キャンペーンの解説で示した内容に類似しています。

いくつかのケースでは、恐喝要求の存在が公に開示された(つまり、メディアに公開された)場合、脅迫的な攻撃が直ちに開始されると、レターで警告しています。

"If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will last for a long time. (原文のまま)" - Armada Collective

強要レターは、脅迫先の組織の評価(レピュテーション)にもフォーカスを当てていて、回答を保留すると、攻撃がインフラストラクチャに害を与えるだけにとどまらないぞと警告しています。

"...your websites and other connected services will be unavailable for everyone. Please also note that this will severely damage your reputation among your customers. [...] We will completely destroy your reputation and make sure your services will remain offline until you pay. (原文のまま)" - Fancy Bear

支払い:

アカマイが目にしたArmada Collectiveからの強要の要求内容では、身代金は5 BTCから始まり、締め切りに間に合わない場合は10 BTCに増加し、その後は日ごとに5 BTCづつ増加します。一方、Fancy Bearは20 BTCから始まり、締め切りに間に合わない場合は30 BTCに増加し、日ごとに10 BTCが追加されます。

このタイプのほとんどの恐喝要求では、身代金要求のタイミングや量は典型的なパターンを踏襲しますが、金銭的な要素は、脅威のアクター(攻撃者)自身の気まぐれで変更されることがあります。

アクティブな攻撃:

レターでは、被害者の組織の中で標的になったアセット(資産)を示し、状況の深刻さを証明するために、小さな「テスト」攻撃を送ると約束します。身代金要求のレターの中には、この脅威の攻撃者が、最大2TbpsのDDoS攻撃を放つ力を持っていると主張しているものがあります。

我々は、50 Gbpsの攻撃がアカマイのネットワーク上の顧客を標的にしていることを認知しています。トラフィックは、UDPベースのARMSプロトコルリフレクション攻撃で構成されていました。現時点で、使用されているリフレクターの数は不明です。

Akamai SIRTは、この強要の要求が模倣者(コピーキャット)から行われていることを疑っています。彼らは、支払いを促すため、脅迫の手段として良く知られた攻撃グループの評判を利用します。

もし貴方の組織が恐喝レターを受け取っても、アカマイは身代金を支払わないことをお勧めします。支払ったところで、攻撃が終了する保証はありません。さらに言えば、身代金要求を支払うことは、それを実行するグ​​ループにさらに資金を供給するだけです。

お客様ができること

Akamai Security Operations Centerは24時間年中無休です。当社の巨大なクラウドベースのDDoS緩和プラットフォームは、これらの脅威にいつでも対応できます。ただし、お客様で実行できる予防的な手順がいくつかあります。

  • ITとセキュリティスタッフが一緒に、貴社の対応マニュアルを見直して、準備ができていることを確認し、攻撃が発生した場合の対処方法を理解してください。
  • すべての重要なスタッフが対応可能であることを確認します -スタッフが休暇中または病気のために欠席している場合は、他の人がその責任をカバーしていることを確認してください。
  • アカマイのSOCと密接に連絡を取り合ってください。
  • Akamai Community Securityページで更新情報をチェックしてください:https://community.akamai.com/community/security-research-and-intelligence