CWT旅行会社、サイバー攻撃で450万ドルの身代金に直面

世界的な顧客を持つ企業旅行業界の巨人であるCWTは、ランサムウェア攻撃をきっかけに、未知のハッカーへの450万ドルの支払いに直面している可能性がある。

独立系マルウェアハンターの@JAMESWT氏は木曜日、CWT（旧名Carlson Wagonlit Travel）に対して使用されたマルウェアサンプルが7月27日にVirusTotalにアップロードされたことをツイートし、問題のランサムウェアがRagnar Lockerであることを示すランサムノートも添付した。

Threatpostのレポートでは、CWTはこのサイバー攻撃を確認し、この週末に行われたと述べています。
"予防措置として当社のシステムを一時的にシャットダウンした後、当社のシステムがオンラインに戻り、現在は事件が停止していることを確認できます。"

＠JAMESWTはまた、要求された身代金は414ビットコイン、または現在の為替レートで約450万ドルであったと報告しています。
CWTの広報担当者は、身代金が支払われたかどうか、攻撃の技術的な詳細、またはどのようにしてこれほど早く復旧できたのかについてコメントを拒否しました。

復旧が保証されているにもかかわらず、事件の影響は広範囲に及ぶ可能性があります。
CWT によると、フォーチュン 500 企業の 33 パーセントと数え切れないほどの小規模企業に旅行サービスを提供しています。
また、@JAMESWTがアップロードした身代金のメモによると、ハッカーは「請求書情報、保険案件、財務報告書、事業監査、銀行口座...企業通信...[および] AXA Equitable、Abbot Laboratories、AIG、Amazon、Boston Scientific、Facebook、J&J、SONOCO、Estee Lauder、その他多くの顧客に関する情報」を含む2TBのデータをダウンロードしたと主張しています。

もしそれが本当なら、この戦術は、多くのランサムウェア運営者が最近取っているワンツーパンチの傾向に合致している。
このようなケースは、5月にランサムウェア「REvil」に襲われた有名法律事務所Grubman Shire Meiselas & Sacksのケースであった。
攻撃者は、レディー・ガガ、ドレイク、マドンナの個人情報を含む756ギガバイトの盗まれたデータを流出させると脅した。

そして実際には、特にRagnar Lockerランサムウェアの背後にいる攻撃者は、ネットワークを暗号化する前にデータを盗むことで知られており、4月にはEnergias de Portugal (EDP)の北米ネットワークへの攻撃がありました。
サイバー攻撃者は、10TBの機密企業データを盗んだと主張し、1,580ビットコイン（約1,100万ドル）の支払いを要求した。

"Ragnar Lockerは、ポルトガルのエネルギープロバイダーEDPが今年初めに発見したように、斬新で陰湿なランサムウェアグループです。
Maze Groupのランサムウェアが使用している『名前と恥』の戦術を反映して、被害者のデータは暗号化の前に流出し、ランサムウェアの支払いに利用されています。
これらのランサムウェアグループが使用している戦術は、攻撃をさらに高額にしており、特に現在の情勢の中では、いつまで経っても止まる気配がありません。"

ただし、CWTの事件でデータ侵害が発生した場合、同社はその側面については公表しておらず、カリフォルニア州司法省（カリフォルニア州の消費者保護法に基づき、カリフォルニア州の住民に影響を与える事件については30日以内にデータ侵害の届出を義務づけている）にはまだ報告していないという。

また、CWTはメディア声明の中で、「調査は初期段階にありますが、PII/顧客・旅行者情報が影響を受けたとの指摘はありません」と述べています。
“お客様の情報の安全性と完全性は、当社の最優先事項です。"

the Registerによると、特定のCWTのクライアントは、旅行会社からインシデントの通知を受けたことを確認したという。

過去の分析によると、Ragnar Lockerは通常、マネージド・サービス・プロバイダやWindowsリモート・デスクトップ・プロトコル(RDP)の悪用を利用して、標的となるネットワークへの足掛かりを得るとのことです。
次に、このマルウェアは、ターゲットのドメインに管理者レベルのアクセス権を取得し、PowershellやWindowsグループ・ポリシー・オブジェクト(GPO)などのWindowsネイティブの管理ツールを使用して、ネットワークを横移動しWindowsクライアントやサーバーのデータを盗み出そうとします。

研究者によると、この手口は、感染がどのようにして発生したかについての手がかりを提供する可能性があるとのことです。

"Ragnar Lockerは、ペイロードを配布する手段として、サービス・プロバイダーを利用しています。
"これらの攻撃者は、組織の貴重なデジタル資産を搾取し、強要し、利用しようとしています。そして今では、サービス会社もまた、その膨大な数の下流の企業顧客をターゲットにしているようです。"

元記事
https://threatpost.com/cwt-travel-agency-ransom-cyberattack-report/157911/

—-
やはり昨今のランサムウェアはデータを暗号化する前に盗み出しを行い、復号化と公開の2段階での脅迫がトレンドになっている。
バックアップから復元しただけでは復旧とは言えず、機密情報の漏洩対策にはならないということか。