Maze ランサムウェア攻撃グループは、当初攻撃を予定していたカナダ規格協会ではなく、ニューヨークの設計・建設会社を標的にするという失態を犯した。
Google で「csa group」という検索語を入力すると多数のヒットが返されますが、そのほとんどは英国規格協会のカナダ版を指しています。ただし、ニューヨークにある建築事務所は例外です。
偶然にも、北半球の同名企業と名前、そしてほぼウェブドメイン名も共通しており、csagroup-dot-com でオンラインになっています。一方、カナダの標準化団体は csagroup-dot-org というドメインを所有しています。そして、Maze 集団が次の標的を探し始めた瞬間、ニューヨークの人々はランサムウェアの集中砲火に巻き込まれてしまったのです。
Mazeの手口は、標的企業のネットワークにランサムウェアを感染させ、目に見えるすべてのデータを盗み出し暗号化した後、データの復号と削除、そして盗んだデータを他者に漏らさないという約束と引き換えに、高額の身代金を要求するというものです。企業が身代金を支払わない場合、Mazeはオンラインで少しずつデータを流し込み、企業への圧力を高めていきます。
情報セキュリティ企業Emsisoftの脅威研究者、ブレット・キャロウ氏は、Maze集団がCSAグループ・カナダに身代金を支払わせるためにオンライン上に流出させたデータを調査した後、彼らの失態に気づいた。彼はThe Register紙にこう語った。「ランサムウェアの愚か者が失態を犯したのは今回が初めてではありません。以前の事件では、DoppelPaymerが、非常によく似た名前の別の銀行を攻撃した後、ある銀行を誤って特定しました。しかし、少なくとも彼らは、名前を間違えた金融機関に謝罪文を掲載するという礼儀正しさは持っていました。」
ポッシュ・スパイスの香水関連商品がMazeランサムウェア集団の恐喝活動に登場
続きを読む
キャロウ氏は、Mazeがオンライン上に公開したデータサンプルを調べたところ、米国領プエルトリコの飛び地における建物の設計と建設に関する文書を発見したと述べた。一部のファイルはcsagroup-dot-comのメールアドレスから送信されたように見え、ランサムウェアの真の被害者はカナダの標準化団体ではなく、建築家たちだったことを示唆している。
エムシソフトの担当者は、新型コロナウイルス感染症のパンデミックで企業の現金が枯渇し、身代金を支払う能力が奪われる中、「業務上のプレッシャー」がメイズの工作員を失策に追い込んだと述べ、「実際、このグループはいわゆるプレスリリースの一つで、『我々はあなた方と同じ経済状況に生きています。だからこそ、我々は契約に基づいて行動することを好み、妥協する用意があります』と述べていました」と語った。
エル・レグの気持ちに同調して、キャロウはこう付け加えた。「私の心は血を流しています。」
今のところ、Maze のリーク Web サイトでは、データダンプの横に間違った企業名が表示され続けています。
レジスターはCSAグループ(ニューヨークの建築事務所)への連絡を試みていますが、ウェブサイトがオフラインになっており、ソーシャルメディアのプロフィールもあまり利用していないため、連絡が困難になっています。また、カナダ規格協会にもコメントを求めています。®
