ドイツの化学薬品流通会社、ランサムウェアグループ「DarkSide」に4.4億円支払う

Brenntag

化学薬品流通会社Brenntag社は、ランサムウェアグループ「DarkSide」に440万ドル(4.4億円)の身代金をビットコインで支払い、暗号化されたファイルの復号化ツールを受け取り「DarkSide」が盗んだデータを公に流出させないようにしたことが分かりました。

Brenntag社はドイツに本社を置く世界有数の化学薬品流通会社で、世界中の670以上の拠点で17,000人以上の従業員が働いています。

ICS Top 100 Chemical Distributorsレポートによると、Brenntag社は北米の売上高では第2位となっています

Brenntag社、サイバー攻撃を確認

5月初旬Brenntag社は北米部門を狙ったランサムウェア攻撃を受け、この攻撃の一環としてランサムウェアグループ「DarkSide」は企業のデバイスを暗号化し、且つ機密データを盗みました。

ランサムウェアグループ「DarkSide」は攻撃の際に150GBものデータを盗んだと宣言しており、証明するために盗んだデータの種類の説明といくつかのファイルのスクリーンショットを含むプライベートデータリークページを作成しました。

darkside-leak-site

DarkSideは当初133.65ビットコインの身代金を要求しましたが、これは当時の価格で約750万ドル(7.5億円)に相当します。しかし交渉の結果、身代金の要求額は440万ドル(4.4億円)に減少し、2021年5月11日ごろにビットコインで支払われたと言われています。

Brenntag North Americaは

現在、限定的な情報セキュリティインシデントの解決に取り組んでおり、本事件後すぐに、脅威を封じ込めるために、影響を受けたシステムをネットワークから切り離しました。さらに第三者のサイバーセキュリティ専門家とフォレンジック専門家が調査を開始しており、法執行機関にもこの事件を報告しています。

と述べています。

盗んだ認証情報でアクセス

DarkSideはRansomware-as-a-Service(RaaS)と呼ばれるものでランサムウェアの開発者がネットワークへのアクセスやデバイスの暗号化を担当する第三者の関連会社(ハッカー)と提携して運営されています。

ほとんどのランサムウェアの攻撃報酬でのやり取りは、第三者の関連会社が被害者のネットワークにアクセスできた方法を開示することが条件の一つとなっています。これは何ページにもわたるセキュリティ監査報告書やTorのチャット画面に簡単な段落を入れてアクセス方法を説明するという形で行われます。

今回のケースでは、DarkSideの第三者の関連会社は盗んだ認証情報を購入しネットワークにアクセスしたとしており、Anti-virusソフトの導入を勧めていました。具体的にはCylanceやCarbonBlackを推奨していました

ランサムウェアグループやその他の脅威組織は盗んだ認証情報、特にリモート・デスクトップの認証情報を購入するためダーク・ウェブ・マーケットをよく利用します。

最大のRDPマーケットプレイスの1つであるUASが、過去3年間に130万件の盗難された認証情報が販売されていたことが判明したことも報じられています。

これらの事実はネットワーク上のすべてのログインに対して多要素認証を実施し、すべてのリモート・デスクトップ・サーバをVPNで保護する重要性を示しています。

アカウントのログインにMFAが有効になっていれば、DarkSideの関連会社がネットワークにアクセスできた可能性は低いとされています。

Leave a Reply

Your email address will not be published.