Kaseya VSAの脆弱性を利用したREvilランサムウェアグループの攻撃は、見た目上は成功したはずですが、ランサムウェアの戦術と手順の変更をおこなったため、身代金の支払いはほとんどなかったことがわかりました。
ランサムウェアグループが攻撃を行う場合、一般的には企業ネットワークに侵入し、時間をかけてデータを盗み出し、バックアップを削除した後、最終的に被害者のデバイスを暗号化するプロセスが一般的です
被害者は盗まれたデータの証拠を見せられ、バックアップが削除され、デバイスが暗号化されると、データを復元するために身代金を支払い、データの漏洩を防ぐという、より強い動機付けを得ることができます。
しかし、今回の攻撃を行ったREvilの協力グループは、この一般的な戦術や手順を使わずに、Kaseya VSAのゼロデイ脆弱性を利用しました。その代わりに、彼らはオンプレミスのKaseyaのVSAサーバのゼロデイ脆弱性を利用して、被害企業のネットワークにアクセスすることなく、大規模で広範な攻撃を行いました。
この攻撃により、1回の攻撃で約1,500の企業のデバイスが暗号化されるという、史上最も大きなランサムウェア攻撃が行われました。
REvil、史上最大のランサムウェア攻撃まとめ:Kaseya社のソフトウェアアップデートを利用。1500以上の企業が被害か
しかし、身代金を支払って暗号ファイルを復号でいるツールを受け取った2社存在しているようですが、全体的にこの攻撃はREvilグループが期待したほど成功していない可能性が高いとされています。
その理由は単純で、バックアップが削除されず、データも盗まれなかったため、ランサムウェアグルー@うが被害者に対してほとんど影響力を持たなかったからです。
あるサイバーセキュリティ研究者は、被害企業はこの方法で攻撃されたことを幸運に思っていると述べています。
これは、攻撃者がバックアップを削除するための企業ネットワークに対する自由なアクセス権を持っておらず、自動化された方法を使わざるを得なかったためです。
例えば、EmsisoftのCTOであるFabian Wosarは、攻撃に使用されたREvilランサムウェアのサンプルの設定を抽出し、それによると、REvilのアフィリエイトは、「backup」という文字列を含むフォルダ内のファイルを削除するという初歩的な試みだけを行ったことが分かりました。
しかし、ほとんどのバックアップファイルはどれも影響を受けておらず、身代金を支払うよりも復元することを選択したとのことで、この方法は成功しなかったようです。
ランサムウェア交渉会社CovewareのCEOであるビル・シーゲル氏は、彼らのクライアントの中で身代金を払わなければならなかった企業は一社もいないため、これは他の多くの攻撃被害者にとっても同様の決断をしていると思われると述べています。
「Kaseyaへの攻撃では、MSPのネットワークに直接侵入するソフトウェアをターゲットにすることで、EVERY Kaseyaのクライアントに影響を与えることを選択しました。このような広い範囲に影響を与えようとすることで、彼らはMSPのコントロールレベルでバックアップを暗号化/消去するという手順を犠牲にしたように見えます。
この脆弱性を利用して広範囲に攻撃を行ったは確かに印象的ですが、バックアップが意図的に消去されたり暗号化されたりして、身代金を払わずにデータを復旧する方法が他にないような、単独のMSP攻撃によく見られるレベルの混乱は見られませんでした。
状況は相変わらず混乱していますが、バックアップからリストアできない暗号化されたデータは最小限で終わるかもしれません。
-シーゲル氏
最終的に身代金を支払うことになった被害者は、復元するためのバックアップが不十分だったために身代金を支払うことになったと思われます。
Comments