デンソーは3月14日、ドイツのグループ会社のネットワークが3月10日に不正アクセスを受けたことを確認したと発表した。その後、ダークウェブの犯罪情報会社であるDarkTracerはTwitterにおいて、攻撃グループ「Pandra」がダークウェブで同社から機密情報を盗んだことを表明したことを示すスクリーンショットを公開した。

攻撃グループによると、盗んだデータには発注書、電子メール、機密保持契約、設計書などが含まれており、1.4テラバイト分に相当する15万7,000以上のファイルを3月16日に公開すると脅迫しているという。

  • 攻撃者グループ「Pandra」はダークウェブでデンソーを攻撃したと表明 引用:DarkTracer

Pandraが用いるランサムウェアとはどのような脅威を持っているのだろうか。BleepinComputer.comによると、Pandraランサムウェアは今年3月に存在を確認された新しい脅威であり、企業ネットワークを標的とし、ファイルの暗号化とファイルの漏洩を行う「二重恐喝」という攻撃手法をとるという。

標的のネットワークにアクセスできるようになると、攻撃者は、恐喝を要求する際に用いる暗号化されていないファイルを盗みながら、ネットワークを介して拡散する。

デバイスを暗号化する場合、Pandraランサムウェアは、暗号化されたファイル名に.pandoraという拡張子を追加する。ファイルを暗号化すると、Pandoraは「 RestoreMyFiles.txt 」という名前のすべてのフォルダに身代金メモを作成する。これらメモは、デバイスに何が起こったかを説明し、被害者が身代金交渉を行うために連絡できる電子メールアドレスを含むとのことだ。

活動が検出されてから間もないため、企業ネットワークにアクセスする方法や身代金として要求する金額は不明だという。

Twitterのハンドルネームとしてpancak3を用いているセキュリティ研究者は、PandoraがRookランサムウェアのリブランドであり、 Babukランサムウェアからコードを借用していると考えていると見ている。