カリフォルニア大学サンフランシスコ校、BBCが「ダークウェブ交渉」を公開したことでランサムウェア組織に114万ドルを支払う

宣伝に飢えた犯罪者が被害者に圧力をかける新たな方法を発見

公衆衛生研究に専念しているカリフォルニアの大学は、データへのアクセスを取り戻すために、犯罪組織に114万ドルの身代金を支払った。

カリフォルニア大学サンフランシスコ校(UCSF)は、Netwalkerグループが不正に暗号化されたファイルの復号化ユーティリティを送ってくることを期待して身代金を支払いました。

BBCによると、「匿名のタレコミ」によって「ダークウェブ上のライブチャットで身代金交渉をフォロー」することができたと主張した。
UCSFの代理を務める交渉人は、暗号解読機の入札を78万ドルで開いたと言われています。

UCSFは、攻撃者が「医学部内の限られた数のサーバーを暗号化していた」と述べた、6月1日に外部の専門家と「影響を受けたサーバーを完全に復元する」ために作業していると述べた。
大学は COVID-19 の研究を行っているが、攻撃はそれに影響を与えなかったと公開声明で述べた。

また、患者の医療記録や患者のケアには影響がなかったとしている--同大学には付属の教育病院、サンフランシスコ・メディカル・センターがある。

Emsisoftの情報セキュリティ研究者ブレット・キャロウは、
Netwalkerは、コロナウイルスのパンデミックと戦う機関を攻撃しない宣言に参加しなかったギャングの1つであることをThe Registerに語った。

The Registerは、UCSFに対し、身代金の支払いだけでなく、データのバックアッププロセスについてもコメントを求めている。

Sophos は数週間前に、Netwalker の戦術やツールについて深く掘り下げたブログ記事を公開しました。
https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/

BBCは身代金を巡ってUCSFと交渉した際に犯人が投稿したライブチャットメッセージの抜粋があると発表しました。
ニュースメディアの注目を利用して、被害者に支払いを求める圧力を高めることは、ランサムウェアグループの間でますます人気のある戦術です。

中には、流出したデータの断片を投稿したり、非協力的な被害者についてわめき散らしたりするクリアネットやダークネットのブログを開設して、ジャーナリストの注目を集めたり、被害者にスポットライトを当てて他の人に支払いを迫るような見出しをつけたりすることを目的としている者もいます。

イギリス政府の忠告は、世界中で反響を呼んでいますが、身代金を支払うべきではないということです。
犯罪者が約束を守る保証はありませんし、実際、犯罪者は絶望的な被害者から金を得て、そうしないという約束に関わらず盗まれたデータを競売にかけようとすることもあります。

元記事
https://www.theregister.com/2020/06/29/ucsf_1_14m_dollar_ransom_paid_netwalker/

—-
最近の傾向として、ランサムウェアを実行する前にファイルの搾取を行い、その後で暗号化と一部公開の脅迫を行って価格交渉という流れが見られる。
Sophosが解説しているが、Netwalkerは既存のPowershellを使用するなど、開発期間も節約して効率化できているようだ。