二重恐喝は、一部のランサムウェア組織が採用している手口。
通常のランサムウェアは被害者のデータを暗号化して、復号化ツールと引き換えに支払いを要求する
二重恐喝は、被害者のデータを暗号化し身代金の支払いも要求するが、さらに被害者のデータを暗号化前にコピーしておき、そのデータをオンラインで公開しないようにするための支払いも要求してくる。
二重恐喝を利用した最初の攻撃者グループは、「Maze」と言われている。
2019年11月にMaze からセキュリティ人材派遣会社に侵入したことを示すメールが着信。
そのメールでは、被害者のネットワークからデータをダウンロードしたこと、企業が要求された身代金要求の支払いに同意しない限りその盗んだ情報の公開を開始することが書かれていた。
期限の1日前、MazeはBleeping Computerの掲示板にネットワーク侵入が成功したことと7-zipアーカイブへのリンクを掲載。その内容には、契約書、医療記録、暗号化証明書など会社から盗んだファイルを含む約700MBのリークファイルが含まれていたとしている。
この攻撃の後に、LockBit Ransomware-as-a-Service(RaaS)プラットフォームを開発した人物はMazeの依頼で6月初めに建築会社のデータダンプを「Maze News」サイトに公開。
このMazeの活動により二重恐喝がランサムウェアの脅威の中で広く普及したと言われている。
二重恐喝の活動は増加し続けており、2020年の終わりまでに、15種類のランサムウェア組織が被害者からデータを盗み、流出させるぞと脅していたことも明らかになっている。
ランサムウェアの攻撃者は、二重恐喝を利用することで企業がデータのバックアップを利用して情報を回復できたとしても、組織に身代金を支払わせることが可能になる。このような「ランサムウェア2.0」攻撃では、データ損失の可能性に加えて、データ漏洩の恐れもある。
しかし、すべてのランサムウェア感染に言えることですが、組織は、データ漏洩を回避するために身代金の支払いに同意しても、攻撃者が約束を守るとは保証できない。ランサムウェアの研究者は、2020年第3四半期に少なくとも5つのランサムウェアグループが約束を反故にしていたと発表している。
例えば「Sodinokibi」が、身代金を支払ったわずか数週間後に同じデータを使って被害者を再脅迫した事例を記録されている。また、NetwalkerやMespinozaなどのグループは、身代金を支払った被害者のデータをそのまま掲載していた事例もある。
Comments