ランサムウェア集団「RansomHub」が、石油・ガス・サービス大手ハリバートン社への最近のサイバー攻撃の背後にあり、同社のITシステムと業務運営を混乱させた。
この攻撃は広範囲に混乱を引き起こし、必要なシステムがダウンしたため、顧客は請求書や注文書を作成できなかったと伝えられた。
ハリバートンは先週金曜日、SECに提出した書類の中で、2024年8月21日に不正者によるサイバー攻撃を受けたことを明らかにした。
「2024年8月21日、ハリバートン・カンパニー(以下「当社」)は、無許可の第三者が当社の特定のシステムにアクセスしたことを知った。
「この問題を知ったとき、当社はサイバーセキュリティ対応計画を発動し、外部アドバイザーの支援を受けて社内で調査を開始し、不正行為の評価と是正に取り組みました」。
同社は、坑井の建設、掘削、水圧破砕(フラッキング)、ITソフトウェアおよびサービスなど、石油・ガス会社に数多くのサービスを提供している。同社は幅広いサービスを提供しているため、同社と顧客との間には大きなつながりがある。
しかし、同社は攻撃に関する詳細をあまり共有しておらず、石油・ガス業界のある顧客は、攻撃が自分たちに影響を与えたかどうかの判断や、自分たちを守る方法について何も知らされないままになっていると話している。
このため、情報が共有されていないことを理由に、他の顧客はハリバートン社との関係を断っている。
また、石油・ガス業界に対する物理的脅威とサイバーセキュリティ脅威の調整・連絡の中心的な役割を果たす機関であるONG-ISACと協力して、攻撃に関する技術情報を入手し、自社も侵害されたかどうかを判断している企業もあるという。
攻撃の背後にRansomHubランサムウェア
数日前から、ハリバートンがRansomHubランサムウェアの攻撃を受けたという噂が流れており、Redditや解雇に関するディスカッションサイトTheLayoffでは、RansomHubの身代金要求メモの一部が公開されている。
これらの主張についてハリバートン社に問い合わせたところ、ハリバートン社はこれ以上のコメントは控えていると述べた。
「提出書類に記載された以上のコメントは控えさせていただきます。その後の連絡は、8-Kの形で行う予定です」とハリバートンは語った。
しかし、ハリバートンは8月26日にサプライヤーに送信した電子メールに、同社はシステムを保護するためにオフラインにし、マンディアントと協力してこの事件を調査していると追加情報を提供した。
「私たちは、ハリバートンに影響を与えたサイバーセキュリティの問題について更新するために連絡しています。
「(1)積極的に特定のシステムをオフラインにして保護に努め、(2)マンディアントを含む有力な外部アドバイザーの支援を受け、(3)法執行機関に通報する。
また、電子メールシステムはMicrosoft Azureインフラストラクチャ上でホストされているため、引き続き稼動しているとしている。取引や発注書の発行については、回避策も用意されている。
この電子メールには、攻撃に関連するファイル名とIPアドレスを含むIOCのリストが含まれており、顧客がネットワーク上の同様の活動を検出するために使用することができます。
これらのIOCの1つは、maintenance.exeというWindows実行ファイルのもので、RansomHubランサムウェアの暗号化プログラムであることが確認されています。
サンプルを分析した結果、ファイルを暗号化する前にデバイス上でコマンドを実行する新しい“-cmd string“コマンドライン引数が含まれていることから、以前分析されたものよりも新しいバージョンのようだ。
ランサムハブ
RansomHubランサムウェアの作戦は2024年2月に開始され、盗んだファイルを最高入札者に販売するデータ盗難恐喝・強要グループであるとしていた。
しかしその直後、この作戦はランサムウェアの暗号化装置も利用した二重の恐喝攻撃を行っていたことが判明しました。この攻撃では、脅威行為者はネットワークに侵入し、データを盗み出し、ファイルを暗号化しました。
暗号化されたファイルと盗まれたデータを流出させるという脅威は、その後、企業を脅して身代金を支払わせるために利用されました。
シマンテックは、ランサムウェアの暗号化者を分析し、以前はCyclopsとして知られていたKnightランサムウェア暗号化者をベースにしていると報告しました。
Knight社は、2024年2月にソースコードを売却し、RansomHubの開始と同時に閉鎖したと主張している。このため多くの研究者は、RansomHubはKnightランサムウェアのリブランドであると考えている。
今日、FBIはRansomHubに関する勧告を発表し、脅威行為者の手口を共有し、2月以来少なくとも210人の被害者に侵入したと警告した。
FBIとCISAは、脅威行為者がハリバートンのような重要インフラに大きな影響を与える攻撃を行った直後に、脅威行為者に関する連携勧告を発表するのが一般的である。しかし、この勧告と攻撃が関連しているかどうかは不明である。
今年に入ってからRansomHubは、米国の非営利信用組合Patelco、ドラッグストアチェーンRite Aid、オークションハウスChristie’s、米国の電気通信プロバイダーFrontier Communicationsなど、数々の著名な攻撃を行なってきた。
また、BlackCatとALPHVのランサムウェア・オペレーションが停止した後、このランサムウェア・オペレーションのデータ流出サイトは、Change Healthcareの盗まれたデータの流出にも利用された。
BlackCatがシャットダウンした後、その関連会社の一部はRansomHubに移動し、経験豊富なランサムウェアの脅威アクターによる攻撃を迅速にエスカレートさせることができたと考えられている。
Comments