米国連邦捜査局(FBI: Federal Bureau of Investigation)は12月2日(米国時間)、「FBI FLASH」において、ランサムウェア「Cuba」を用いるサイバー犯罪グループが米国の金融、政府、医療、製造、情報技術の5つのセクターに関わる49の重要なインフラ組織のネットワークを侵害したと伝えた。このグループは、これまでに合計7400万ドル(約84億円)の身代金を要求し、そのうち少なくとも4390万ドル(約50億円)を実際に受け取ったことが判明しているという。
レポートでは、このサーバー犯罪グループは「Hancitor」と呼ばれるマルウェアをCubaの配布に用いたと伝えられている。Hancitorマルウェアは、フィッシングメールのほかに、侵害された資格情報の悪用したり、Microsoft Exchangeの脆弱性を悪用したりするなどして被害者のネットワークを侵害することで知られている。Hancitorは侵害に成功すると、自動的に他のマルウェアをダウンロードして感染させる。今回の攻撃も、同様にHancitorを介してCubaを被害者のネットワークに侵入させたという。
犯人を特定するために、米連邦政府ではCubaの被害に遭った組織に対して、通信のログや身代金支払いのためのビットコインウォレットの情報、入手した復号用のファイル、暗号化されたファイルのサンプルなどといった情報の提供を求めている。
なお、FBIではランサムウェア攻撃に対して身代金を支払うことを推奨していない。身代金の支払ったとしても暗号化されたファイルが回復される保証はなく、本質的な解決にはつながらない可能性が高いからだ。
-
Indicators of Compromise Associated with Cuba Ransomware
