教育機関を狙うランサムウェアグループ「Rhysida」の手口とは:広がる教育機関へのランサムウェア攻撃【前編】
新興勢力のランサムウェア攻撃集団が英国の大学を攻撃した。攻撃集団の特徴や被害の実態を紹介する。
Rhysidaはランサムウェア(身代金要求型)攻撃を仕掛ける集団の中では比較的新興の組織だ。コンピュータ情報サイト「BleepingComputer」の2023年6月の報道によると、Rhysidaは同年5月にチリ軍を攻撃し、データを盗み出した。このチリ軍への攻撃で、Rhysidaは注目を集めるようになった。
公共放送局BBC(英国放送協会)によると、西スコットランド大学(University of the West of Scotland)は2023年7月上旬からRhysidaの攻撃を受けた。同大学から盗まれたデータは、ダークWeb(通常の手段ではアクセスできないWebサイト群)で売りに出された。Rhysidaは同大学に対して約45万ポンド相当のビットコインによる支払いを要求。データに対して最高入札額を提示する人物にデータを売却する予定だという。
西スコットランド大学を狙ったRhysidaの手口とは
併せて読みたいお薦め記事
教育機関に対するランサムウェア攻撃
売りに出されているデータには、銀行口座や国民保健に関するデータといった職員の個人情報、西スコットランド大学が所有する内部資料などが含まれていた可能性がある。攻撃により、西スコットランド大学の一般向けWebサイトをはじめとする主要なシステムでダウンタイム(システムの停止時間)が発生した。
身代金を要求するメッセージは、標的とした記憶装置のフォルダにPDF形式のファイルとして格納されていた。メッセージには以下の内容が書かれていた。
- 記載のIDを使用し、匿名でインターネットにアクセスできるTor(The Onion Router)ブラウザを使ってRhysidaに連絡すること
- 支払いはビットコインしか受け付けないこと
西スコットランド大学の広報担当者は、Rhysidaの攻撃によってさまざまなシステムが被害を受けたと説明する。攻撃の調査を実施する上で、同大学は警察、英国立サイバーセキュリティセンター(NCSC)、政府といった関係当局から支援とアドバイスを受け、情報コミッショナー事務局(ICO:Information Commissioner's Office)にも報告したという。ダークWebに売りに出されたデータが本当に盗まれたものかどうかについて、広報担当者は明言を避けた。
セキュリティベンダーSentinelOneは、Rhysidaの手口を解明することに成功したという。同社のアナリストによると、その特徴の一つはペネトレーションテスト担当者のグループであるように見せかけていること。もう一つが、西スコットランド大学でも見られた、標的のデータを暗号化した上で、データを暴露すると脅す「二重脅迫」型の手口を使っていることだという。
Rhysidaが使用するランサムウェアは、フィッシング攻撃、ITベンダーFortraのペネトレーションテストフレームワーク「Cobalt Strike」をはじめとしたさまざまな経路を使って侵入する。
SentinelOneによると、Rhysidaのペイロード(マルウェアの実行を可能にするプログラム)は、任意のファイルを自動で複製し、Windowsのストレージに保管するVSS(ボリュームシャドーコピーサービス)を無効化するといった既存のランサムウェアによく見られる特徴を備えていないという。Rhysidaのランサムウェアは開発の途上にあると言える。
後編は、教育機関がランサムウェア攻撃の被害に遭いやすい背景を整理する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.