複数回攻撃のランサムウェアはどれくらい存在するのか?
今回の一連のインシデントは、普通ではないと言わざるを得ない。ソフォスによれば、同じ組織が影響を受ける場合、攻撃の間隔は6週間程度空くことがほとんどだという。しかし、最終的な結果は同じだ。インシデント対応はより困難になり、成功した侵害の間隔が短い場合、データ復旧の複雑さもさらに増すのだ。
ソフォスは、犯罪グループが共同作業を行うのは珍しいことだと指摘する。何しろ犯罪者フォーラムで販売されている多くの暗号資産マイニングやリモートアクセスのトロイの木馬(RAT)は、システム上の他のマルウェアを「殺す」能力を宣伝しているからだ。
ランサムウェアグループは、この「泥棒間に仁義なし」の例外となる可能性がある。ランサムウェアの所有者のほとんどは、コードと身代金要求のダッシュボードを管理しており、身代金の利益の一部を受け取るアフィリエイトグループに攻撃の実行を委託していることがすでにわかっている。こうした者たちは、完全な侵害パッケージを宣伝しているインターネットアクセスブローカー(IAB)を通じて、ネットワークに侵入する手段を購入するのだ。今回の3回侵害事案では、BlackCatは最後に現れたグループで、自分自身のみならずその前にあったランサムウェアの活動の痕跡も削除した。
ランサムウェアグループが協力する可能性
ソフォスがこのような協力関係の証拠を握っているわけではないが、ソフォスのシニアセキュリティアドバイザーであるジョン・シアーは、ギャングたちが「高いレベルで話し合いの場を持ち、たとえば一方のグループがデータを暗号化し、他方が流出させるといった相互に有益な合意を行っている可能性がある」と述べている。また、シアーは、複数の攻撃が身代金要求へのプレッシャーになるという考え方もあると指摘する。
私が最も興味を持ったのは、攻撃のメカニズムつまり「どうやって」犯人たちは次々と成功させたのかということだ。これは興味深く、重要なことである。この点を理解することで、マルチアタックの緩和策を戦略的に考えることにつながるからだ。
ソフォスによると、このような複数の侵害は通常2つの中核的な欠陥によって説明されるという。
・最初の攻撃の際に、パッチが適用されていなかった脆弱性や設定ミスが迅速に対処されなかったために、2番目の攻撃者が同じ穴から侵入することを許す場合
・最初の攻撃(この例では立て続け二度の攻撃)に対するインシデントレスポンスが不完全であったため、さらなる攻撃者が侵入できるバックドアが残されたままになった場合
