Underground

アンダーグラウンドのランサムウェア集団が、10月5日に日本の大手ハイテク企業カシオを攻撃した犯行声明を発表した。

今週初め、カシオはウェブサイト上でこの攻撃を公表したが、個人データやその他の機密情報がこの攻撃で盗まれたかどうかを調査するため、外部のIT専門家に依頼したとし、事件の詳細は伏せていた。

今日、アンダーグラウンドのランサムウェアグループは、ダークウェブの恐喝ポータルにカシオを追加し、日本企業から盗まれたとされる大量のデータを流出させた。

流出したデータには以下が含まれる:

  • 機密文書(社外秘)
  • 法的文書
  • 従業員の個人データ
  • 機密NDA
  • 従業員の給与情報
  • 特許情報
  • 会社の財務書類
  • プロジェクト情報
  • インシデントレポート

上記が事実であれば、この攻撃によりカシオの従業員や知的財産が危険にさらされ、ビジネスに悪影響を及ぼす可能性がある。

Casio data leaked on Underground ransomware portal
カシオのデータがUnderground ランサムウェアの恐喝ポータルに流出
Source

は、カシオに脅威行為者の主張とデータ流出に関するコメントを再度求めたが、公表までに回答は得られていない。したがって、脅威行為者の主張は未検証のままです。

アンダーグラウンド・ランサムウェアの概要

2024年8月下旬のフォーティネットのレポートによると、Undergroundは2023年7月以降、Windowsシステムを標的とした比較的小規模なランサムウェアです。

この系統は、ロシアのサイバー犯罪グループ「RomCom」(Storm-0978)と関連しており、以前にも侵入されたシステム上にCubaランサムウェアを配信していました。

フォーティネットの報告によると、Underground ランサムウェアの運営者は夏の間、Microsoft Officeのリモートコード実行の欠陥であるCVE-2023-36884の悪用に従事しており、おそらく感染ベクトルとして使用されていました。

システムに侵入されると、攻撃者はレジストリを変更し、ユーザーの切断後14日間リモート・デスクトップ・セッションを維持することで、システムへのアクセスを維持する余裕を与えます。

Undergroundは暗号化されたファイルに拡張子を付加せず、Windowsの操作に不可欠なファイルタイプをスキップするように設定されているため、システムを使用不能にすることはない。

さらに、MS SQL Serverサービスを停止し、データの盗難と暗号化のためにデータを解放することで、攻撃のインパクトを最大化します。

ほとんどのWindowsランサムウェアがそうであるように、Undergroundはシャドウコピーを削除し、簡単なデータ復元を不可能にします。

Underground's ransom note
Undergroundのランサムノート
ソースはこちら:フォーティネット

Undergroundの恐喝戦術における珍しい特徴は、盗んだデータをMega上にも流出させ、Telegramチャンネルを通じてそこでホストされているアーカイブへのリンクを宣伝し、データの露出度と可用性を最大限に高めていることだ。

Undergroundランサムウェアの恐喝ポータルには現在17人の被害者がリストアップされており、そのほとんどが米国に拠点を置いている。

カシオの攻撃が、この脅威グループの主流への突破口となるかどうか、そしてその後、より多くの攻撃量/ペースが続くかどうかは、まだわからない。