ランサムウェアグループ「Cl0p」が数百社の企業に機密情報を暴露すると恐喝の最後通告、BBCや航空会社なども脅迫され超大型事件に発展し期限切れが迫る
「Cl0p(Clop)」と名乗るハッカーグループによって数百社の企業がランサムウェア攻撃を受け、身代金を要求されていることが明らかになりました。Cl0pが悪用した脆弱(ぜいじゃく)性はすでに特定されており、連邦捜査局(FBI)とアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)が共同で対策レポートを公開しています。
#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
Observed Exploitation of MOVEit Transfer Vulnerability CVE-2023-34362 | Rapid7 Blog
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
Ransomware group Clop issues extortion notice to ‘hundreds’ of victims
https://therecord.media/clop-extortion-hundreds-organizations-moveit-vulnerability
Clop crew sets extortion deadline for MOVEit victims • The Register
https://www.theregister.com/2023/06/07/clop_crew_sets_extortion_deadline/
Cl0pの活動が明らかになる前の2023年5月31日に、ソフトウェア開発企業のProgressが開発しているファイル転送ツール「MOVEit Transfer」に深刻な脆弱性が存在することが判明しました。その後、2023年6月初頭には脆弱性を悪用して攻撃が確認され、2023年6月5日にはMicrosoftが「脆弱性を悪用しているのはCl0pを展開していることで知られるサイバー犯罪グループ『Lace Tempest』である」という声明を発表しました。
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
その後、Cl0pによる攻撃はイギリスの大手メディア「BBC」や、航空会社「ブリティッシュ・エアウェイズ」などを含む数百社に及んでいることが判明。FBIおよびCISAが公開した情報によると、Cl0pの攻撃を受けた企業には以下のメールが届いたとのこと。
こんにちは。ハッカーグループのCl0pです。知っての通り、私たちは最近ハッキングを実行しており、ニュースサイト「【編集済み】」によって報じられました。
私たちは、あなたのGoAnywhere MFT(ファイル転送ツール)リソースから重要なデータを盗み出しました。証拠としてファイルのリストを添付します。
私たちは、あなたの組織名を公表せずにあなた、もしくは責任者と交渉したいと考えています。しかし、もしあなたが無視するなら、盗んだデータをブラックマーケットで販売し、1日当たり3万~5万人の訪問者数を誇る私たちのブログで公開します。私たちの詳細は、「CLOP hacker group」と検索すれば「【編集済み】」で確認できます。
報道によると、Cl0pは身代金の支払い期限を2023年6月12日に設定していたものの、途中から期限を2023年6月14日までに延長したとのこと。また、身代金の支払い方法は以下のようなメッセージで指定されていました。
ステップ1:2023年6月14日までに連絡がない場合、このページに組織名を記載します。
ステップ2:チャット用のURLを受け取ったら、リンク先にアクセスして自己紹介してください。
ステップ3:私たちが保有するデータの10%を証拠として提示し、削除費用を提示します。
ステップ4:私たちがウソをついていないことを証明するために、ファイルを2~3個渡すことも可能です。
ステップ5:価格の交渉猶予は3日間です。
ステップ6:7日後に、あなたのデータの公開準備を始めます。
ステップ7:チャットの有効期限は10日後です。
FBIおよびCISAはCl0pによる攻撃を軽減するために以下の行動を推奨しています。
・自らが所持する情報の目録を作成し、情報へのアクセスを許可するデバイス&ソフトウェアと許可しないデバイス&ソフトウェアを明確にする。
・管理者権限やアクセス権限は必要なときにのみ付与する。
・正規のソフトウェアのみを実行するように許可リストを作成する。
・ネットワークを監視し、ネットワーク内デバイスのセキュリティ構成を有効化する。
・ソフトウェアの更新および脆弱性評価を定期的に実行する。
・関連記事
ロシア・北朝鮮・中国などの悪質な脅威アクターに「津波・台風・ブリザード」など気象現象にちなんだ名を付ける新ルールをMicrosoftが開始 - GIGAZINE
ウエスタンデジタルから顧客情報を含む大量のデータを盗んだハッカーが「最低13億円超」の身代金を要求か - GIGAZINE
MSIがサイバー攻撃の被害を公表、公式はファームウェアおよびBIOSのアップデートについて警告 - GIGAZINE
企業のIT専門家の3分の1が「データ侵害を隠匿した」とインタビューで回答 - GIGAZINE
ランサムウェア攻撃でオークランド市のネットワークが一部ダウン、図書館では前時代の回覧票が登場 - GIGAZINE
無償のランサムウェア被害復旧ツールを当局がGitHubで公開、裁判所システムなど全世界で3800台以上のサーバーが被害を受けた大規模攻撃に終止符か - GIGAZINE
・関連コンテンツ
