ランサムウェアグループが盗んだMedibank データを公開すると脅迫

REvil の再起動であると信じているランサムウェアグループと、オーストラリアの健康保険会社である Medibank Private Limited に対する先月のランサムウェア攻撃について、BlogXX が犯行声明を出しているように追跡するランサムウェアグループです。

Medibank はオーストラリア最大の民間健康保険会社の 1 つで、390 万人以上をカバーし、4,000 人の従業員を擁しています。

これまでのところ、Medibank への攻撃が特定のランサムウェアグループに起因するものではありませんでしたが、同社はネットワークで観察された悪意のある活動がランサムウェアの活動と一致することを確認しました。

ランサムウェアグループは本日、データ漏洩 Web サイトに追加された新しいエントリで、Medibank のシステムから盗まれたとされるデータを 24 時間以内に漏洩すると脅迫しました。

ギャングは、メディバンクのネットワークから盗み出したデータの量をまだ明らかにしておらず、これらの主張を確認する証拠を共有していません.

Medibank の広報担当者は、ランサムウェアギャングの主張を確認するために本日以前に連絡を受けたとき、コメントを求められませんでした。

Table of contents

REvilの再始動？

しかし、2022 年 4 月に、操作の元の Tor Web サイトは、不思議なことに、「BlogXX」操作と呼ばれるもののために訪問者を新しい Web サイトにリダイレクトし始めました。被害者との内密な交渉では、これらの攻撃者は自分たちを Sodinokibi と呼んでいます。これは、元の REvil 作戦で以前使用されていた名前です。

さらに、セキュリティ研究者は、新しい操作の暗号化プログラムが REvil の暗号化プログラムのソースコードに基づいていることを確認しました。

ウェブサイトのリダイレクトとコードの類似性により、新しい操作は、開発者または他のメンバーのいずれかによる REvil 操作の再開であると考えられています。

ただし、セキュリティ研究者の MalwareHunterTeamは、このグループがまったく新しい操作である BlogXX であると考えています。

Medibank は、この攻撃の背後にいるハッキンググループをまだ確認していませんが、本日公開されたプレスリリースでは、攻撃者による身代金の要求を拒否したと述べています。

「本日、このデータ盗難の責任者に身代金が支払われないことを発表しました」とメディバンクはコメントしています

「サイバー犯罪の専門家から得た広範なアドバイスに基づいて、身代金を支払っても顧客のデータが確実に返還され、公開されなくなる可能性は限られていると考えています。」

健康保険会社は、攻撃者に支払いを行うことで、攻撃者がデータ侵害の影響を受けた顧客を追跡するようになる可能性もあると付け加えました。

さらに、身代金の支払いは、他の人がオーストラリアの組織を攻撃することを助長し、より多くの人々を危険にさらすことになります.

「お金を払うことで、オーストラリアがより大きな標的になり、より多くの人々が危害を受ける可能性が高い」と同社は付け加えており「この決定は、オーストラリア政府の立場と一致しています。」

当初、保険会社は、顧客情報がアクセスされたり盗まれたりしたという証拠はないと述べていました。同社は後に、ハッカーが顧客のデータの一部にアクセスしたことを明らかにしました。

本日、ランサムウェアギャングが盗んだとされるデータを漏洩して主張を裏付け、Medibank との交渉を強要しようとする前に、同社は、攻撃者が何百万人もの顧客の機密情報にアクセスできるようになったことを明らかにしました。

Medibank が侵害で公開されたと考えているデータの完全な要約には、次のものが含まれます。

Medibank は、10 月の攻撃の背後にいるサイバー犯罪者が、金融情報 (クレジットカードや銀行口座の詳細)、主要な身分証明書 (運転免許証など)、または追加サービス (歯科、理学療法、光学および心理学）

「この犯罪の性質を考えると、残念ながら、アクセスされたすべての顧客データが犯罪者によって取得された可能性があると考えています」とメディバンクは付け加えました.

「犯罪者は顧客データをオンラインで公開したり、顧客に直接連絡を取ろうとする可能性があるため、顧客は警戒を怠らないようにする必要があります。」