しかしセキュリティベンダーのSophos(ソフォス)の新たなレポートによると、このような事態が実際に起きてしまった。被害に遭ったのは、匿名の自動車部品メーカーで、わずか14日の間に3つのランサムウェアグループに狙われて三度感染した。
一度、二度そして三度のランサムウェア被害
ソフォスのX-Opsチームのマット・ウィクセイは「Multiple attackers: A clear and present danger(複数の攻撃者:明確な今そこにある危険)」という報告書で「組織が複数回攻撃されるケースが増えている」と述べている。
今回の攻撃者はHive、LockBit、BlackCatと呼ばれるランサムウェアギャングだ。最初の二度目の攻撃は、実際には120分も間が空いていない、極めて短時間のうちに起こった。三度目はその2週間後に発生し、これも成功した。それぞれに身代金のメモが残されたが、一部のファイルは最終的に三回暗号化され復元が不可能になった。
三度の攻撃を時系列で追う
ソフォスのアナリストによると、攻撃は2021年12月2日に遡り、インターネットアクセスブローカーと思われる人物が被害者のドメインコントローラー上でリモートデスクトッププロトコル(RDP)を52分間にわたって実行した時点に遡る。このことが、4月20日にLockBitアフィリエイト(ランサムウェアによる攻撃を実際に行う提携先)がネットワークにアクセスし、データを流出させることから始まった三度のランサムウェア攻撃の準備を整えたのだ。
4月28日に同じ攻撃者が戻ってきてパスワードを盗み、5月1日にランサムウェアのバイナリが実行されてデータが暗号化され、身代金要求のメモが残された。すでに述べたように、その後2時間足らずでHiveのメンバーが独自のランサムウェアを投下し、データを再び暗号化し、別の身代金要求を残していった。
この脅威三部作の最終章は5月15日に発生した。BlackCatのメンバーがネットワークを横断し、2つのランサムウェアバイナリを投下して、三度目のデータ暗号化を行ったのだ。そしてその2時間後、同じグループが戻ってきて、3つの犯罪組織の活動に関するイベントログを削除していった。そして、その日のうちにソフォスの迅速対応チームが派遣された。
