Akamai、Linode を買収し、クラウドからエッジまで、世界で最も分散されたコンピューティングプラットフォームに。 続きを読む

Dark background with blue code overlay
ブログ
RSS

身代金要求の脅威ふたたび:金融と小売を標的とした昔ながらの攻撃者による新たな DDoS 脅迫

Akamai blue wave

Written by

Akamai SIRT Alerts

August 17, 2020

1sitr_header_image044.png

2020 年 8 月 24 日更新

後述しますが、Akamai SIRT は Armada Collective や Fancy Bear と名乗る攻撃者からの攻撃を追跡してきました。これらの攻撃者は、金融、旅行、e コマースなど、さまざまな業種に身代金要求の脅迫状を送っています。 

前回のアドバイザリ情報に加え、現在は、ARMS、DNS フラッド、GRE プロトコルフラッド、SNMP フラッド、SYN フラッド、および WSDiscovery フラッドを主な攻撃ベクトルとして使用し、攻撃のピークは約 200 Gb/秒となっていることを確認できました。これらの脅迫攻撃では、特定の地域が標的となっているわけではないようです。身代金要求の脅迫状を受け取った組織は、英国、米国、アジア太平洋地域に所在しています。 

現時点では、身代金要求の期限後に、脅迫どおりの攻撃が開始された事例は確認されていません。したがって、標的とされた組織が身代金を支払うかどうかに関係なく、結果は同じであると考えられます。そのため Akamai は引き続き、標的とされた組織に対し、こうした要求があっても身代金を支払わないようにお勧めしています。 

また、このような脅迫攻撃を行っている攻撃者は、可能な限り少ない労力で迅速な支払いを期待していると考えられます。

オリジナルのブログ投稿(2020 年 8 月 17 日)

要約:

Akamai は、Fancy Bear や Armada Collective と名乗る者によって新たな脅威が生じていることを認識しています。現在は、銀行、金融、小売など、複数のセクターが標的となっています。Akamai は引き続きこれらの悪性の活動を監視し、お客様を攻撃から守ります。

概要:

Akamai の Security Intelligence Research Team(SIRT)は、先週またはその前後に複数のセクターの企業を標的として発生した一連の DDoS 攻撃を調査しています。これらの脅迫の要求内容は、過去に DDoS ランサムグループが使用していたものと似ています。

脅迫状の内容:

最初の連絡は脅しの電子メールから始まります。このメールは、ビットコインでの支払いに応じなければ、その企業に近々 DDoS 攻撃が仕掛けられると警告する内容です。脅迫状の文面は、過去の DDoS 脅迫キャンペーンの際にメディアに公開された内容と酷似しています。また 2019 年 11 月に Akamai が文書にまとめた DDoS 脅迫キャンペーンの内容とも似ています。

なかには、脅迫状の存在を公に開示した場合(つまりメディアに公開した場合)、ただちに攻撃が開始されると警告するケースもあります。

「これをマスコミに報告し、金も払わず我々の名前を利用してタダで有名になろうとするなら、永久に攻撃が開始され、長期間続くことになるだろう(原文の翻訳)」 - Armada Collective

「…貴社の Web サイトやそこに接続しているサービスは一切使用できなくなります。これにより、貴社に対する顧客の信用が著しく損なわれることに注意してください。[…]支払いが行われない限り、貴社の評判は完全に貶められ、サービスはオフラインのままになります。(原文の翻訳)」

-Fancy Bear

支払い:

Akamai が目にした Armada Collective からの脅迫状では、身代金は 5 BTC から始まり、期限を守れないと 10 BTC に増え、その後は 1 日ごとに 5 BTC ずつ増えていきます。一方、Fancy Bear は 20 BTC から始まり、期限を守れないと 30 BTC に増え、その後は 1 日につき 10 BTC ずつ増えていきます。

この種の脅迫のほとんどは、身代金の要求について一定のパターンに従うケースが一般的ですが、攻撃者自身の気まぐれで金銭的な要求部分が変化することもあります。

アクティブな攻撃:

攻撃者は脅迫状のなかで、目的とする被害者組織の資産を特定し、本気であることを証明するために小規模な「テスト」攻撃を行うと約束します。なかには、最大 2 Tbps の DDoS 攻撃を仕掛けることができると、自らの能力を誇示する場合もあります。 

私たちは、Akamai ネットワークのお客様が 50 Gb/秒の攻撃の標的となったことを知っています。そのトラフィックは UDP ベースの ARMS プロトコルリフレクション攻撃で構成されていましたが、現時点では使用されたリフレクターの数は不明です。

Akamai SIRT はこの脅迫について、支払いを促すための脅しの手段として既知の攻撃グループの評判を利用しているのではないかと疑っています。

もし脅迫状を受け取ったとしても、支払いに応じないことをお勧めします。身代金を支払っても攻撃が終わる保証はありません。要求に応じて身代金を支払えば、攻撃しているグループに資金を提供しているだけです。

お客様にできること:

Akamai の Security Operations Command Center(SOCC)には 24 時間 365 日いつでもご連絡いただけます。また、当社の広範なクラウドベース緩和プラットフォームはこうした脅威に対応できるようになっています。ただし、次のような事前対策もあります。

  • IT とセキュリティのスタッフとともに対応マニュアルを見直して、準備が整っていることを確認し、攻撃が発生した場合の対処方法を把握します。

  • 重要なスタッフ全員が対応可能であることを確認します。休暇中または病欠中のスタッフがいる場合は、その役割を他の人がカバーしていることを確認します。

  • Akamai SOC と緊密に連絡を取ります。 

  • Akamai Community Security ページで更新情報を確認します。 https://community.akamai.com/community/security-research-and-intelligence



Akamai blue wave

Written by

Akamai SIRT Alerts

August 17, 2020