米国連邦捜査局(FBI)とオーストラリア・サイバー・セキュリティ・センター(ACSC)は、米国および世界の様々な組織を標的としたランサムウェア「Avaddon」の攻撃が継続して行われていると警告しています。
FBIは、先週のTLP:GREENフラッシュアラートでAvaddonランサムウェアの関連組織が、世界中の製造業・医療機関・その他の民間企業のネットワークに侵入しようとしていると発表しました。
ACSCは2021年5月10日、この標的情報を拡張し、ランサムウェア組織とその関連組織は、政府・金融・法執行機関・エネルギー・情報技術・医療など幅広い分野の企業を標的にしていると発表しました。
また、FBIは現在進行中の攻撃について言及しており、ACSCは、米国・英国・ドイツ・中国・ブラジル・インド・UAE・フランス・スペインなど攻撃を受けている国のリストもリストアップしています。
オーストラリア・サイバー・セキュリティ・センター(ACSC)は、Avaddonランサムウェアを利用した現在進行中のランサムウェア攻撃を補足しており、オーストラリアの様々な組織を積極的にターゲットにしています。さらにACSCはAvaddonランサムウェアがオーストラリア国内の組織に直接影響を与えた事件を複数把握しています。
https://www.cyber.gov.au/sites/default/files/2021-05/2021-003%20Ongoing%20campaign%20using%20Avaddon%20Ransomware%20-%2020210508.pdf
とACSCは述べています。
AvaddonのDDoS脅迫
ACSCは、Avaddonランサムウェア組織が被害者を脅迫して身代金を支払わせるため、サービス妨害(DDoS)攻撃で脅していることにも言及しています。
Avaddonランサムウェア組織は、2021年1月に初めてランサムウェアの被害者が連絡を取り身代金の支払い交渉を開始するまでDDoS攻撃を仕掛けて被害者のサイトやネットワークをダウンさせていたことがわかりました。
この新しい交渉戦術を使用していたランサムウェア組織は「SunCrypt」と「RagnarLocker」の2つでした。
盗まれたデータを利用
Avaddonランサムウェアのサンプルが最初に検出されたのは2019年2月で世界中のユーザーを対象とした大規模なスパム攻撃を開始してから、2020年6月に関連組織の募集を開始しました。
関連組織は、ネットワークを侵害して悪意のあるコード「ペイロード」を展開したり、スパムやエクスプロイトキットを介してランサムウェアを配布したりする役割を担っており、RaaS運営者(Ransome As A Service)はマルウェアの開発とTOR決済サイトの運営を担当しています。
また、AvaddonのRaaS事業では独立国家共同体(CIS)のターゲットを狙わないというルールを関連組織に依頼しています。。
Avaddonは各関連組織に関連組織がもたらした身代金支払いの65%を支払い、RaaS運営者は35%の取り分を得ることになっていますが、他のRaaS運営と同様、通常よりも大きな規模の金額の場合は金額に応じてより高い分配率で支払いを分配しています。
Avaddonの平均的な身代金の支払い額は、復号化ツール(Avaddon General Decryptor)と引き換えにおよそ0.73ビットコイン(約41,000ドル)となっています。
Avaddonランサムウェアの関連組織は、被害者のネットワークからデータを盗んでからシステムを暗号化し、二重に脅迫することでも知られています。
二重脅迫 (ダブルエクストーション:double-extortion)とは?
この戦略は、ほぼすべてのランサムウェアの活動において一般的なものとなっており、被害者はランサムウェアの攻撃を受けた後、顧客や従業員にデータ漏洩の可能性を知らせるのが一般的となっています。
ランサムウェア被害を抑えるガイドを発表
ACSCはランサムウェアのリスクと影響を軽減する方法を発表しています。
- オペレーティングシステムやアプリケーションにパッチを適用し、アンチウイルスのシグネチャを最新の状態に保つ。
- 電子メールや添付ファイルをスキャンしてマルウェアを検出・ブロックし、フィッシングや外部からの情報を識別するためのトレーニングやプロセスを実施する。
- フィッシングや外部からのメールを識別するためのトレーニングやプロセスを実施する。
- オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップのテストを行う。
- 定期的にバックアップを実施する。
- バックアップ手順を定期的に実施し、バックアップをオフラインまたは別のネットワークに保管する。
Comments