Apple、Quantaのランサムウェア攻撃の標的に | ハッカーが5000万ドルを要求
ランサムウェア攻撃は、2019年12月にパンデミックが始まって以来、増加しています。実際、いくつかの報告書によると、2020年末までにランサムウェア攻撃は少なくとも150%増加し、平均的な身代金の要求額は約$170000に倍増しました。悪意のある行為者は通常、大きな現金化の可能性のために、高収入の企業を標的にします。また、大手技術メーカーを標的にすることもトレンドになっています。
例えば、2020年11月には、Foxconnがランサムウェア攻撃の標的となり、責任者のハッカーが1000台以上の暗号化されたサーバーからテラバイト単位のバックアップデータを削除しました。攻撃者は暗号化されたデータを解放する前に3400万ドルを要求しました。Foxconnは、Amazon、Sony、Microsoft、Appleなどの企業のための最大の電子機器メーカーです。その月の初めには、別のメーカー(Compal)がランサムウェア攻撃の標的になりました。
これは、大手技術製造企業がより洗練されたランサムウェア攻撃のリスクにさらされていることを示しています。最も最近の攻撃は2021年4月の終わりに近い数日前に発生しました。Appleを含む大手技術企業のためにノートパソコンを製造する台湾の企業であるQuantaが、Appleに5000万ドルのコストがかかる可能性のあるランサムウェア攻撃を受けました。
## ランサムウェアとは何か?
ランサムウェアは、コンピュータにアクセスし、ファイルやシステムを暗号化してアクセス不能にすることで、企業や所有者に解放のための支払いを強要するマルウェア(悪意のあるソフトウェア)の一形態です。「身代金」という言葉から、すべてのランサムウェア攻撃の最終目標が犠牲者に身代金を支払わせ、人質となったファイルやシステムの解放と交換することであることが容易に理解できます。犠牲者が支払いを行うと、攻撃者は解読鍵を解放し、犠牲者はその鍵を使用して暗号化されたファイルやシステムを復号化します。
最初の形態のランサムウェア攻撃は、1989年に遡ることができます。それ以来、悪意のあるエンティティは技術の進歩を利用して、より洗練された攻撃を行ってきました。ランサムウェアの進化は、悪意のあるアクターがRansomware-as-a-Service(RaaS)などのサービスを提供し、ネットワークと能力を拡大することを見てきました。モバイルランサムウェア攻撃も現在では一般的になりつつあり、物のインターネット(IoT)技術の使用率がどのように拡大しているかを考えると、新たな攻撃を目の当たりにすることになるでしょう。
REvilハッカーグループがQuantaを通じてAppleを標的に
2021年4月20日、Appleがその春のイベント「Spring Loaded」で最新のガジェットを発表している最中、世界最大級のラップトップメーカーの一つが、REvilとして知られるロシアのハッカーグループによってランサムウェア攻撃を受けました。QuantaはAppleのためにMacBookを製造しており、他の製品も手掛けています。REvil、またの名をSodinokibiとしても知られるこのグループは、Appleの最新製品の設計図を投稿することで、その攻撃が成功したことの証拠を示しました。これには、すでに発売されている2020年のM1 MacBook Airや新しいiMacのデザインが含まれていました。
データ漏洩の数日前に、ユーザー名UNKNを持つユーザーが、XSS(人気のあるサイバー犯罪フォーラム)で大きな発表が近いことをほのめかし、ハッカーにグループへの参加を促しました。このユーザーは、そのようなニュースを発表し、ランサムウェア・アズ・ア・サービスプログラムのために新しいアフィリエイトを募集する任務を帯びたREvilランサムウェアグループを代表していると考えられます。
Quantaは攻撃が発生したことを認めました。また、セキュリティチームが攻撃に対応しているが、ビジネス運営に大きな影響はないと述べています。会社の声明で、Quantaは「最近観察された異常な活動について、関連する法執行機関およびデータ保護当局に報告し、シームレスなコミュニケーションを維持しています。会社のビジネス運営に重大な影響はありません」と述べています。それ以来、同様の事態が再び発生しないように、サイバーセキュリティインフラをアップグレードしました。
これらの攻撃者は画像と引き換えに5000万ドルの支払いを要求しましたが、Quantaは支払いを拒否し、世界で最も価値のある企業に連絡を取ることを余儀なくされました。そのため、REvilグループはAppleのSpring Loadedイベントと同じ日にMacBookの設計図約21枚を公開しました。これは、見過ごされることのない声明です。
また、Appleが身代金を支払うまで毎日新しいデータを公開すると脅迫し、5月1日までの最後通告を与えました。REvilは、そのハッキングの成果を公に共有するために使用している「Happy Blog」を通じて、このすべての情報を明らかにしました。Appleは、この攻撃に関していかなる声明も発表しておらず、身代金を支払う意向があるかどうかの兆候も示していません。
REvilハッカーグループとその活動の歴史
Sodinokibiは、一般にREvilとして知られており、そのランサムウェア攻撃で評判があります。情報セキュリティ分野の人々は、このグループがロシアまたは国有企業を攻撃することを避けるため、ロシア拠点であると考えています。また、以前の悪意のあるグループであるGandCrabの派生であるとも考えられています。GandCrabはREvilが現在そうであるように、約2年間で約20億ドルの身代金を稼ぎ出しました。GandCrabが運営を停止したのとほぼ同時期に、REvilが目立ち始めました。
ほとんどのハッカーグループとは異なり、REvilはより多くのお金を稼ぐことができる異なるモデルを運用しています。信頼できるアフィリエイトにマルウェアをライセンスするRansomware-as-a-Service(RaaS)モデルを使用しています。その後、アフィリエイトが攻撃を成功させた場合、身代金の一部を受け取ります。REvilはまた、犠牲者が身代金を支払う可能性を高めるために、いわゆる二重恐喝方法を使用しています。これは、データを暗号化した後、REvilが可能な限りそのデータを自分のサーバーに転送し、それを売ると脅すことを意味します。
会社がバックアップを持っていても、悪意のあるグループが機密情報を自分たちのサーバーに転送していた場合、身代金を支払う必要があるかもしれません。同じ被害者にDDoS攻撃を使用して圧力を高め、身代金を支払わせる可能性もあります。このグループが資金を集めるためにできる限りのことをしている理由が何なのか疑問に思い始めます。それは、より利益の高い攻撃を資金するためなのか、それとも単なる貪欲さなのか?
それでは、このグループが過去に行った広範囲にわたる攻撃のいくつかを見てみましょう。
テキサス州の地方自治体
2019年8月16日の早朝、REvilがテキサス州の地方政府機関23箇所を攻撃し、250万ドルの身代金を要求しました。これらの機関で働く人々は、通常アクセスできるファイルにアクセスできなくなりました。これは、REvilによる調整された攻撃で、機関のシステムとウェブサイトを停止させました。幸いなことに、REvilはバックアップシステムを攻撃しなかったため、これらの要求に応じることはありませんでした。複数のサイバーセキュリティチームとの調整の後、これらの機関はREvilグループによって身代金を要求されたファイルとシステムへのアクセスを復元することができました。
## 2. トラベレックス
Travelexは、世界中で外貨両替を扱う会社です。空港で非常に人気があり、地元の通貨を別の通貨に交換するプロセスを容易にします。2019年12月31日、REvilがTravelexのネットワークにアクセスしました。これは、Travelexが古いVPNを使用しており、REvilグループが未修正のソフトウェアの脆弱性を利用したためです。ネットワークに侵入した後、REvilはランサムウェアを広め、Travelexのネットワーク全体をダウンさせ、230万ドルの身代金を要求しました。
Travelexはランサムウェア攻撃を受けたことを公表せず、システムがメンテナンス中であると述べました。その後、密かに身代金を支払い、ネットワークとシステムへのアクセスを回復しました。しかし、真実が見出しになり、彼らは公衆の信頼を失いました。セキュリティポリシーがひどいために攻撃の犠牲になることは一つのことですが、顧客や公衆にそれについて嘘をつくことは重大な過ちです。この瞬間まで、Travelexはその行動の結果に直面しています。
## 3. グラブマン・シャイア・メイセラス&サックス
2020年5月、REvilは750GB以上のプライベートな法律文書にアクセスを得ました。Grubman Shire Meiselas and Sacksは、元アメリカ合衆国大統領のドナルド・トランプを含むいくつかの有名人を代表する法律事務所です。REvilは当初、2100万ドルの身代金を設定しましたが、トランプのデータを見た後で金額を増やしました。法律事務所はFBIのアドバイスに従って支払いを拒否し、REvilはデータをダークウェブでオークションにかけました。
## 結論
トップテクノロジー企業のためにハードウェアを製造する企業への攻撃が増加していることは、懸念されるべき事態です。これらの企業がテクノロジー業界の巨人たちとの関連で標的にされていることは明らかです。このような攻撃は、企業がサイバーセキュリティをできるだけ真剣に受け止めるべきであることを思い出させます。なぜなら、適切な防御策を設定するコストは、通常、資産を回復するコストよりも低いからです。