Interviews Brawte nfaq 0 Comments

ランサムウェアクラブの第一ルールは身代金を支払わないことだが、カールソン・ワゴンリット・トラベルはそれを理解していなかったようだ。

Table of Contents

ランサムウェアクラブの第一ルールは身代金を支払わないことだが、カールソン・ワゴンリット・トラベルはそれを理解していなかったようだ。

米国の企業向け旅行管理会社であるカールソン・ワゴンリット・トラベルが侵入を受け、同社はデータを取り戻すために450万ドルの身代金を支払ったとみられる。

攻撃は1週間前に同社を襲い、感染の封じ込めと対処が進む間、すべてのシステムが停止した。

カールソン・ワゴンリットは、400ビットコイン(現在のレートで450万ドル)を超える身代金を要求された可能性がある。年間15億ドルの収益を持つ同社の身代金要求額は、それほど苦労することなく消化できたかもしれない。あるTwitterユーザーが木曜日に、侵入の最初の兆候と身代金について投稿した。

Twitterユーザー@JAMESWT_MHTは、木曜日にラグナル・ロッカーがCWTを襲撃したと投稿した。

Twitterユーザー@JAMESWT_MHTは、ラグナル・ロッカーがCWTを攻撃したと投稿しました。クリックして拡大

ツイートにリンクされているマルウェア分析サイトによると、ランサムウェアのサンプルは7月27日月曜日にアップロードされたとのことだ。

最近CWTに社名変更したカールソン・ワゴンリットは、B2B2E(企業間取引、従業員間取引)ベースで旅行・ホテル予約サービスを提供しています。企業は、自社で手配するよりも、面倒な出張手配をCWTに委託しています。The Registerの取材によると、CWTは今週初めに一部の法人顧客に通知した一方で、個々の旅行者のデータは漏洩していないと伝えており、通知の連鎖はそこで止まっているようです。

同社は声明の中でThe Registerに次のように語った。

CWTが身代金を支払ったかどうか、支払った場合いくらかと尋ねたところ、広報担当者は用意された声明文を参照するように促した。残念ながら、同社は、ナビゲーションおよびフィットネストラッキング企業のガーミンやクラウドCRM提供企業のブラックボードなど、先月だけでも犯罪者に身代金を支払っている他の多国籍企業の仲間入りをしたようだ。身代金を支払った企業のうち、すべてのデータを回復できたのは半数にも満たないという警告は、全く無視されている。また、身代金を支払うことは彼らのビジネスモデルを維持し、犯罪行為を続けることを助長するだけだという事実も無視されている。

英国のデータ監視機関である情報コミッショナー事務局は、英国で広く活動しているCWTからまだ情報漏洩の通知を受け取っていないと述べ、情報漏洩が「人々の権利と自由にリスクをもたらす」と思われない限り、組織は情報漏洩を認識してから72時間以内に報告しなければならないと付け加えた。

公開されたガイダンスには次のように記載されています。

関与した悪質なランサムウェアはRagnar Lockerだと考えられています。昨年末に初めて確認されたこの比較的新しいランサムウェアは、標的のネットワークにWindows XPの仮想マシンを展開し、ランサムウェア自体を実行します。英国の脅威インテリジェンス企業Sophosによると、典型的な攻撃経路としては、リモートデスクトップサービスにおけるセキュリティ対策の不備や、マネージドサービスプロバイダーに対するサプライチェーン攻撃などが挙げられます。

情報セキュリティ企業VectraのEMEA地域ディレクター、マット・ウォルムズリー氏はThe Register紙に次のように語った。「Ragnar Lockerは、ポルトガルの電力会社EDPが今年初めに10TBの個人情報をこのランサムウェア運営者に奪われたという報道で明らかになったように、これまでにない巧妙なランサムウェアグループです。Maze Groupランサムウェアが用いた『名指しと非難』戦術を模倣し、被害者のデータは暗号化される前に盗み出され、ランサムウェアの支払いに利用されます。これらのランサムウェアグループが用いる脅迫的な戦術は、攻撃のコストをさらに増大させており、特に現在の状況下では、すぐには止まらないでしょう。」

「ラグナー・ロッカーは、ペイロードを拡散する手段としてサービスプロバイダーも利用しています。これらの攻撃者は、組織の貴重なデジタル資産を悪用し、強要し、搾取しようとします。そして今、魅力的な下流の法人顧客を多数抱えるサービス企業も標的になっているようです。」

F-Secureのタクティカルディフェンスユニットの研究員、バート・ステッペ氏は次のように付け加えた。「Ragnar Lockerは比較的新しいランサムウェアファミリーで、標的型攻撃に利用されます。身代金要求メッセージは被害者ごとにカスタマイズされます。今年初めに初めて確認され、脆弱なCitrixサーバーに展開されました。このランサムウェアは現在も開発が進められており、攻撃者は検出を回避するために非常に独創的な手法を駆使しています。ある既知の事例では、Windows XPの仮想マシンを完全展開し、その仮想マシン内からホスト上のファイルを暗号化していました。」

Ragnar Locker は、バックアップ、関連ユーティリティ、接続されたストレージ ドライブを探し出して削除することもあると言われています。®

追加更新

情報コミッショナー事務局から連絡があり、「Carlson Wagonlit UK Ltd からインシデントが報告されました。提供された情報を評価します」と通知されました。

Interviews

Smart Recommendations

Discover More