Kyivstar社のインシデントに 関する5つの疑問 (とその答え)

2023年12月12日、ウクライナの大手モバイルネットワーク事業者「Kyivstar」社がサイバー攻撃を受け、同社が提供しているサービスが危機的状況に陥りました。このインシデントは、電気通信業界の組織を標的にした攻撃の中でも特に深刻な影響を及ぼしたインシデントとして話題になっています。そしてその背景では、「Killnet」とその後継「Deanon Club」、さらには「Solntsepek」などのハクティビストグループが事態を混乱させるような犯行声明を出しています。今回のKELAのブログでは、Kyivstar社に対するサイバー攻撃について掘り下げ、各グループの矛盾した犯行声明を考察するとともに、ロシアの国家支援を受けたアクターが関与している可能性について探ります。

Aldo社で発生したインシデントとサードパーティがもたらすリスク

2023年12月6日、ランサムウェアグループ「LockBit」は自らのブログで、靴小売企業「Aldo」社を侵害したとの犯行声明を出しました。この犯行声明で同グループは、2023年12月25日までに身代金支払いを支払うようAldo社に指示し、身代金が支払われない場合は同社から窃取したデータを公開すると脅迫していました。

KELAが、Snowflake社のレポート「Next-Generation Cybersecurity Applications 2023(次世代のサイバーセキュリティアプリケーション2023年版) 」のデータエンリッチメント部門で、注目の1社に選出されました!

データエンリッチメントとは、セキュリティ関連のイベントデータとそれ以外のデータを組み合わせて有用な情報を導き出し、未加工データを組織のセキュリティ強化につながる、実用的で意味のある知見に昇華するプロセスを指します。セキュリティアナリストはデータエンリッチメントを行うことにより、使用しているセキュリティツールが取り込んでいるデータの背景情報や、自組織の環境で何が起こっているのかをより深く理解できるようになります。

KELAのTHREAT ACTORS HUBで攻撃者を暴く

サイバー犯罪情勢は常に進化し、高度な脅威やリスクが新たに出現しています。そしてその源となるサイバー犯罪エコシステムの中心部は、脅威アクターで構成されています。彼らはサイバー犯罪事件の背後でブレーンとして活動し、ランサムウェア攻撃やデータ侵害に関与したり、新たなマルウェアを開発して企業のネットワークを侵害しようと目論んでいます。こういった脅威アクターの種類やレベルは多岐にわたり、国家支援を受けた高スキルのハッカーもいれば、スクリプトキティ(初心者レベルのハッカー)もいます。 今回のブログでは、KELAの新モジュール「THREAT ACTORS」の機能を説明し、サイバー脅威インテリジェンスアナリストの皆様に業務で活用していただける方法についてご紹介します。 また本モジュールは、セキュリティ担当チームの皆様が、サイバー犯罪社会で活動している脅威アクターの活動を監視、特定、追跡し、彼らのTTPや脅威アクター同士のつながりを理解するためのツールとしてもご利用いただけます。さらに、脅威アクターの活動動機や使用しているハンドル名、ツール、連絡先情報、サイバー犯罪フォーラムでの活動状況など、実際の業務に役立つ知見をご覧いただけます。

KELAが最先端技術を駆使した2つのモジュール「THREAT ACTORS」と「IDENTITY GUARD」で、能動的な防御をより高度に、よりシンプルに。サイバーインテリジェンスに革命を起こします。

2023年11月20日—実用的な真の脅威インテリジェンスをリードするKELAは、画期的な2つのモジュール「THREAT ACTORS」と「IDENTITY GUARD」のリリースを発表しました。この新モジュールのリリースは、総合サイバーインテリジェンスプラットフォームを継続的に改良する弊社の取り組みを反映しています。今回リリースされた革新的なモジュールは、弊社が実用的な脅威インテリジェンスをタイムリーに配信する機能を強化するとともに、組織の皆様がより堅牢で適応力の高いセキュリティ体制を実現できるよう支援します。いずれのモジュールも、脅威インテリジェンスをより手軽に利用していただけるよう設計されており、皆様の効果的なサイバー脅威対策に役立つ、実用的な知見をタイムリーにご提供します。
QakBot

テイクダウンされたQakBot、それでも活動を続けるランサムウェアオペレーション

2023年8月下旬、FBI(米連邦捜査局)は、協力関係にあるフランスやドイツ、ラトビア、ルーマニア、オランダ、英国などの国々と大規模な作戦「Duck Hunt」を実行し、マルウェア「QakBot」のインフラストラクチャを解体したことを公表しました。 この合同作戦の結果、QakBotに感染していた世界中のコンピューター(70万台超)から同マルウェアが削除され、さらなる被害が未然に阻止されました。これに加え米司法省は、QakBotの活動とのつながりが確認された不正な利益として、暗号資産(860万米ドル超相当)を押収しました。また今回のテイクダウンでは、アンインストーラーファイルを使用してQakBotのボットネットから感染端末を切り離すという革新的な手法で、さらなるペイロードの拡散が阻止されました。 QakBotのボットネットは、「Ryuk」や「ProLock」、「Egregor」、「REvil」、「MegaCortex」、「Doppelpaymer」、「Black Basta」など様々なランサムウェアグループがマルウェアを配信する際に使用していたことでも知られています。それらグループの大半はもはや活動していませんが、Black Bastaなど一部のグループは現在も活動を続けています。そしてKELAが観察したところ、Black BastaのオペレーションはQakBotのテイクダウンで多少影響を受けた可能性はあるものの、テイクダウンの2カ月後には活動を再開していました。同グループが活動を再開するにあたっては、新たな初期感染ベクトル(他のアクターと手を組んだり、別の感染手法を使用するなど)を採用した可能性が考えられます。一方QakBotのオペレーターは、過去数カ月の間ランサムウェア「Knight(旧Cyclops)」を配信していましたが、今回自らのボットネットが解体された後でさえも配信を続けています。このQakBotのオペレーターが持つマルウェアの配信能力を考慮した場合、Black Bastaが今後もQakBotのオペレーターと協力体制をとってゆくという可能性も考えられます。 今回のブログでは、QakBotと2つのオペレーションが協力体制をとっている様子を解説し、QakBotのテイクダウンがそれらオペレーションにどのような影響を及ぼしたかについて考察します。

2023年8月にサイバー犯罪者の間で話題になった脆弱性

2023年8月、KELAは、重大な脆弱性がアンダーグラウンドのサイバー犯罪コミュニティで多大な関心を集めていることを確認しました。関心の対象となっている脆弱性は以下の通りです。 CVE-2023-3519 (Citrix ADCおよびNetScaler Gatewayの脆弱性) CVE-2023-27997 (Fortigateの脆弱性) CVE-2023-34124 (SonicWallの脆弱性) CVE-2022-24834 (Redisの脆弱性) 本レポートでは、これらの脆弱性の詳細とその影響、推奨される緩和策について詳述します。また、脅威アクターは常に悪用可能な脆弱性を模索しているという現状を踏まえ、最近観察されたWindowsとTP-Link社製ルーター「W8970」に影響を及ぼすゼロディ脆弱性の事例2件についても取りあげます。

ランサムウエア&データリークグループの新たなお気に入り? 「GDPR戦術」

「GDPR当局は、我々の関係をどう思うだろうかね?」―2023年8月に登場したデータリークグループ「RansomedVC」は、自らのブログで被害組織にこう語りかけていました。同グループがGDPR(EU一般データ保護規則)を攻撃に利用していたことが発覚した当時は、それほど一般的に用いられている手口ではないと考えられていたこともあり、またたく間に話題となりました。しかし実際には、すでに多くの攻撃グループが自らのブログや身代金要求メモでRansomedVCと同様の手口を使用しており、彼らもGDPRの名を出して欧州の被害組織にプレッシャーを与え、金銭を支払わせようとしています。今回のレポートでは、GDPRを恐喝に利用している攻撃者について考察します。