EPM logo over a landscape

コロンビアのエネルギー企業 Empresas Públicas de Medellín (EPM) は、月曜日に BlackCat/ALPHV ランサムウェア攻撃を受け、同社の業務を中断させ、オンライン サービスを停止させました。

EPM は、コロンビア最大の公共エネルギー、水、ガスのプロバイダーの 1 つで、123 の自治体にサービスを提供しています。同社は 2022 年に 250 億ドル以上の収益を上げ、コロンビアのメデジン市が所有しています。

火曜日、同社は約 4,000 人の従業員に在宅勤務を命じ、IT インフラストラクチャがダウンし、会社の Web サイトが利用できなくなりました。

EPM は、サイバーセキュリティ インシデントに対応していることを地元メディアに開示し、顧客がサービスに対して支払う別の方法を提供しました。

検察は後にEL COLOMBIANOに対し、ランサムウェアが EPM への攻撃の背後にあり、デバイスが暗号化され、データが盗まれたことを確認しました。

ただし、攻撃の背後にあるランサムウェアの動作は明らかにされていません。

攻撃の背後にある BlackCat ランサムウェア

その後、BlackCat ランサムウェア オペレーション、別名 ALPHV が攻撃の背後にあり、攻撃中に企業データを盗んだと主張していることを知りました。

また、暗号化ツールのサンプルと EPM 攻撃からの身代金メモを確認し、それらが BlackCat ランサムウェア操作によるものであることを確認しました。

BlackCat ランサムウェアからの EPM 身代金メモ
BlackCat ランサムウェアからの EPM 身代金メモ
ソース:

攻撃で作成された身代金メモは、攻撃者がさまざまなデータを盗んだと述べていますが、これはすべての BlackCat 身代金メモで使用されている正確なテキストであり、EPM に固有のものではないことに注意してください。

しかし、さらなる発見は、ハッカーが攻撃中に EPM からかなりの量のデータを盗んだ可能性が高いことを示しています。

チリのセキュリティ研究者、Germán Fernández は、コロンビアからマルウェア分析サイトにアップロードされた、BlackCat の「ExMatter」データ盗難ツールの最近のサンプルを発見しました。

ExMatter は BlackCat ランサムウェア攻撃で使用されるツールで、デバイスが暗号化される前に企業ネットワークからデータを盗みます。このデータは、ランサムウェア ギャングによる二重恐喝の試みの一部として使用されます。

このツールが実行されると、ネットワーク上のデバイスからデータを盗み、攻撃者が制御するサーバーの、盗まれた Windows コンピューター名にちなんで名付けられたフォルダー内にそのデータを保存します。

ExMatter ツールを分析したところ、Fernández 氏は、適切に保護されていないリモート サーバーにデータがアップロードされ、そこに保存されているデータを訪問者が見ることができることを発見しました。

コロンビアの ExMatter 亜種では、以下に示すように、「EPM-」で始まるさまざまなフォルダにデータがアップロードされていました。 Fernández 氏は、これらのコンピュータ名が Empresas Públicas de Medellín で使用されている既知のコンピュータ命名形式と一致すると語った。

BlackCat データ流出サーバー
BlackCat データ流出サーバー
ソース: ゲルマン フェルナンデス

盗まれたデータの総量は不明ですが、Fernández 氏は、サイトには 40 を少し超えるデバイスがリストされていると語っています。

は、攻撃と盗まれたデータの量について EPM に問い合わせましたが、すぐには返答がありませんでした。

ランサムウェア攻撃がコロンビアのエネルギー会社を標的にしたのはこれが初めてではありません。

2020 年、 エネル グループは同じ年に 2 回ランサムウェア攻撃を受けました。

コロンビアでもここ数か月で攻撃が増加しており、先月、多国籍医療機関であるKeralty に対する RansomHouse 攻撃によって同国の医療システムが混乱しました。