Clop ランサムウェア ギャングは、特定の被害者専用のインターネットからアクセスできる Web サイトを作成することで、ALPHV ランサムウェア ギャングの恐喝戦術を模倣し、盗まれたデータの漏洩を容易にし、被害者に身代金の支払いをさらに圧力をかけています。
ランサムウェア ギャングが企業を攻撃する場合、まずネットワークからデータを盗み、次にファイルを暗号化します。この盗まれたデータは二重恐喝攻撃のてことして利用され、身代金が支払われなければデータが漏洩すると被害者に警告します。
ランサムウェアのデータ漏洩サイトは通常、Tor ネットワーク上にあります。これにより、Web サイトが削除されたり、法執行機関がインフラストラクチャを押収したりすることが困難になります。
ただし、このホスティング方法には、サイトにアクセスするために特殊な Tor ブラウザが必要であること、検索エンジンが漏洩データのインデックスを作成しないこと、ダウンロード速度が一般に非常に遅いことなど、ランサムウェア オペレーターにとって独自の問題が伴います。
これらの障害を克服するために、昨年、BlackCat としても知られる ALPHV ランサムウェア活動は、 クリアウェブ Web サイトを作成して盗まれたデータを漏洩させるという新たな恐喝戦術を導入しました。これは、従業員が自分のデータが漏洩したかどうかを確認する方法として宣伝されました。
ClearWeb Web サイトは、アクセスするために特別なソフトウェアを必要とする Tor のような匿名ネットワークではなく、インターネット上で直接ホストされています。
この新しい方法によりデータへのアクセスが容易になり、検索エンジンによってインデックスされる可能性が高く、漏洩情報の拡散はさらに拡大します。
Clop ランサムウェアギャングが戦術を採用
先週の火曜日、セキュリティ研究者のドミニク・アルヴィエリ氏は、Clop ランサムウェア集団が、最近の大規模なMOVEit Transfer データ盗難攻撃で盗まれたデータを漏洩するために、クリアウェブ Web サイトを作成し始めたと語った。
攻撃者が作成した最初のサイトはビジネス コンサルティング会社 PWC のもので、同社の盗んだデータを 4 つの ZIP アーカイブにまとめて漏洩させる Web サイトを作成しました。
Alvieri 氏が語った直後、攻撃者は Aon、EY (Ernst & Young)、Kirkland、TD Ameritrade の Web サイトも作成しました。
Clop のサイトはいずれも、BlackCat のサイトのような検索可能なデータベースを備えておらず、データをダウンロードするためのリンクをリストしているだけであるため、ALPHV が昨年作成したサイトほど洗練されていません。
ソース:
時間の無駄?
これらのサイトは、盗まれたデータの影響を受けた可能性のある従業員、幹部、ビジネス パートナーを怖がらせることを目的としており、企業に対して身代金の支払いを求めるさらなる圧力をかけることを期待しています。
ただし、この方法でデータを漏洩することにはいくつかの利点があるかもしれませんが、Tor ではなくインターネット上にデータを置くと、はるかに簡単に削除されるため、独自の問題も伴います。
現時点では、既知の Clop クリアウェブ恐喝サイトはすべてオフラインになっています。
これらのサイトがダウンしている原因が、法執行機関による押収なのか、サイバーセキュリティ企業による DDoS 攻撃なのか、あるいはホスティングプロバイダーやレジストラによるサイトの閉鎖なのかは不明である。
簡単に閉鎖できるため、この恐喝戦術が努力する価値があるかどうかは疑わしい。
Comments