英国の通信会社コルト・テクノロジー・サービスは、サイバー攻撃によりサービスが中断されてから1週間後、当初の声明を撤回し、データが実際に盗まれたことを確認した。
ウォーロック・ランサムウェア・グループがこの攻撃の責任を主張し、盗んだ顧客データは現在ダークウェブサイトでオークションにかけられていると述べた。
コルト社は現在、攻撃に関する情報を掲載した新しいページを通じて、データが盗まれたと述べているが、盗難の範囲や誰のデータが盗まれたかはまだ不明である。
「徹底的な調査の結果、一部のデータが盗まれたことが判明しました」と同社は述べた。「当社の最優先事項は、影響を受けたデータの正確な性質を迅速に特定し、影響を受けた関係者に通知することです。」
外部の調査員や法医学専門家を含む当社の専任インシデント対応チームが、このインシデントの調査に取り組んでいます。この体制は24時間365日体制で継続されます。
「当社は捜査の一環として、引き続き法執行機関と緊密に協力していきます。」
同社はFAQセクションで、特定のファイルには「顧客に関連した情報が含まれている可能性がある」と付け加えた。
同社は非常に異例な動きとして、コルトの専用コールセンターを通じて、ダークウェブに投稿されたとされるファイル名の全リストを要求する機会も顧客に提供している。
ファイルリストは Warlock のページでは入手できないようですが、The Register は、サイバー犯罪フォーラム RAMP にリストが掲載されていると理解しています。
典型的な二重恐喝型ランサムウェアとは異なり、Warlockは盗んだデータの一部さえもオンラインで漏洩させていません。Warlockは、8月27日に終了するオークションを通じて、データを非公開で販売することを選択しました。
サイバー犯罪者が盗んだ情報を金銭化するためにデータを非公開でオークションにかけることは、あまり一般的ではないものの、全く聞いたことがないわけでもありません。近年の注目を集めた事例の一つは、オークション大手クリスティーズを襲撃したランサムハブの事件です。
攻撃者がなぜデータをオークションにかけたのかは確認されていないが、当時The Registerに話を聞いた専門家は、攻撃者はちょっとした楽しみを味わっていたか、実際に価値のあるものを盗むことはできず、恐喝の要求に見合うほどのものを盗んでいないという事実を隠すために、いわゆるプライベートオークションを実施した可能性があると述べている。
時間が経つにつれ、RansomHub は盗んだデータを長期的に収益化するオークション モデルを採用しなくなり、面目を保つための説明がさらに裏付けられました。
長引く影響
Colt のステータス ページには、攻撃の影響で顧客ポータルである Colt Online と Voice API プラットフォーム (自動音声サービス管理システム) が引き続きダウンしていることが示されています。
ご不便をおかけしましたことを心よりお詫び申し上げます。弊社チームはサービスの復旧に尽力しており、今後も努力を継続してまいります。
一部の顧客は、番号ホスティング API プラットフォームと Colt On Demand (サービス ポータルとしてのネットワーク) が利用できないことに気付く可能性があり、新しいサービスを注文するのにも苦労する可能性があります。
- オーストラリアの通信会社で「限定的」なデータ漏洩、顧客情報28万件と判明
- 泥棒がドアを閉めるように、Apache ActiveMQの攻撃者は侵入後に重大な脆弱性を修正します
- カジノ技術企業ブラッグ、侵入を報告もジャックポットのデータには手が付けられず
- マイクロソフト傘下のNuance、MOVEit侵害訴訟から逃れるために850万ドルを支払う
ロンドンを拠点とするこの通信会社でのサービス中断は8月12日に始まり、3日後に不正行為の疑いが確認された。
通常業務に復帰する予定日については明らかにしていない。
Warlock とその SharePoint エクスプロイト
トレンドマイクロの研究者らは今週、ウォーロックグループに関する調査結果を発表し、同グループは7月以降、多くの組織が被害に遭い、現在は修正プログラムが適用されているSharePointのバグを悪用していることが知られているランサムウェアや国家支援のグループの一つであると指摘した。
情報セキュリティウォッチャーのケビン・ボーモント氏は、コルト攻撃の初期の段階で、システムへの侵入方法は広く悪用されているSharePointの脆弱性だったと主張した。トレンドマイクロは、ウォーロックの被害者の中にコルトを具体的に挙げなかったが、複数の専門家が同グループが脆弱性を悪用していることは知られていると述べていることから、ボーモント氏の主張が裏付けられている。
トレンド社によると、ウォーロックの最近の被害者の中には、北米、欧州、アジア、アフリカなどの地域にわたるテクノロジーおよび重要インフラ組織が含まれていたという。
Warlock は、ロシアのサイバー犯罪フォーラム RAMP で自社製品の宣伝を開始して以来、6 月にランサムウェア界に突如として登場した。
ランボルギーニを所有したいなら同グループに連絡するよう促すことで、サイバー犯罪者にアピールした。
トレンドは、犠牲者のリストが急速に充実し、その半数は政府機関であり、このグループは倒れたブラックバスタとつながりがある可能性があると述べた。®
