ランサムウェアギャングは2,102社分の盗み出したデータをダークウェブのデータリークサイトに流出させていることがわかりました。
2013年に本格的なランサムウェアの攻撃が始まったとき、攻撃者の目的はできるだけ多くの企業のデータを暗号化して復号のために身代金の支払いを要求することでした。
2020年に入ってからのランサムウェア攻撃では、二重恐喝 (ダブルエクストーション:double-extortion)と呼ばれる新たな方法を編み出しました。
二重脅迫 (ダブルエクストーション:double-extortion)とは?
二重脅迫 (ダブルエクストーション:double-extortion)とは、ランサムウェア組織がデータを暗号化する前に暗号化されていないファイルをコピーし、暗号化の後に「身代金を支払わなければ盗んだファイルをダークウェブのデータリークサイトで公開する」と攻撃者は脅してくることで二重で恐喝してくることです。
暗号化されたファイルが復元できないという脅威に加えて、データ漏洩・法的罰金・訴訟などの懸念があるため、攻撃する側はこれによって被害者が身代金を容易に支払わざるを得なくなると考えています。
34のランサムウェア組織がダークウェブでデータを情報公開した企業数
ダークウェブのセキュリティ研究者であるDarkTracerは、34のランサムウェア組織のデータリークサイトを記録しており、現在2,102の組織のデータをリークしていると語っています。
DarkTracerが追跡している34のランサムウェアギャングは、Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi (REvil)、Ragnar_Locker、Suncrypt、DarkSide, CL0P、Avaddon、LockBit、Mount Locker、Egregor、Ranzy Locker、Pay2Key、Cuba、RansomEXX、Everest、Ragnarok、BABUK LOCKER、Astro Team、LV、File Leaks、Marketo、N3tw0rm、Lorenz、Noname、XING LOCKERなどがあります。
この34のッシ機のうち、活発的な組織のTOP5は、Conti(338件の公開)、Sodinokibi/REvil(222件の公開)、DoppelPaymer(200件の公開)、Avaddon(123件の公開)、Pysa(103件の公開)です。
現在は活動を停止していますがTOP5に入っている組織よりも多くの公開情報がある3つのグループもあり、Maze(266件の公開)とEgregor(206件の公開)です。
すべてのランサムウェアギャングのデータリークサイトのデータは、DarkTracerが2021年5月4日にツイートで公表しています。
リストアップされたランサムウェアギャングの中には、NetWalker、Sekhmet、Egregor、Maze、Team Snatchのように活動を停止しているものや、NEMTYやAKOのように新たな名前にブランド変更したものもあります。
DarkTracerは実際の企業リストをGoogle Driveでエクセル形式で公開しています。
ランサムウェアの被害企業は、暗号化されてファイルを失うことよりもデータが流出してしまうことを心配してしまうだろうと述べています。
さらに直近2・3ヶ月の間に、盗んだデータを販売するためだけに存在するデータ漏洩マーケットプレイスが新たに立ち上げられています。
データ漏洩を防ぐために身代金を支払った方が良いように思えるかもしれませんが、データが公開されたり他の犯罪組織に販売されたりしないという保証は残念ながらありません。
したがって、データが盗まれた場合、データ漏洩事件として処理し情報漏えいの影響を受けた人に対して透明性を確保する方が良いと説明しています。
Comments