新しいランサムウェアグループ「Fog」が教育およびレクリエーション業界を標的にしている。このグループは、仮想環境内のデータを暗号化し、身代金の要求メモを残す攻撃を行っている。Arctic Wolfの研究者が5月2日に初めてこのグループを発見し、5月23日までに標準的なランサムウェア攻撃を実施していることが報告された。Fogは、盗まれたVPNクレデンシャルを使って組織に侵入し、2種類のVPNゲートウェイベンダーを悪用している。攻撃手法には、ハッシュを渡して管理者アカウントを乗っ取り、Hyper-VハイパーバイザーとVeeamデータ保護ソフトウェアを実行するWindowsサーバーにRDP接続を確立するなどがある。また、FogはWindows Defenderを無効にし、Torを使用して被害者と通信する。しかし、Fogは暗号化したデータを盗み出すことはなく、リークサイトを運営したり、二重・三重の恐喝を行ったりすることはない。これまでのところ、Fogは米国内の組織のみを標的にしており、報告された攻撃の80%が教育部門からで、残りはレクリエーション産業に分布している。
【ニュース解説】
新しいランサムウェアグループ「Fog」が、特に教育部門とレクリエーション業界を標的にしていることが明らかになりました。このグループは、仮想環境内のデータを暗号化し、身代金を要求するメモを残すという手法で攻撃を行っています。この手法は、被害者がデータを取り戻すためには、要求された身代金を支払う以外に方法がないという状況を作り出します。
Fogグループは、盗まれたVPNクレデンシャルを使用して組織に侵入し、特定のVPNゲートウェイベンダーの脆弱性を利用しています。攻撃の過程で、管理者アカウントを乗っ取り、仮想環境を管理するWindowsサーバーにアクセスすることができます。このような攻撃手法は、組織のセキュリティ体制に深刻な脅威をもたらします。
Fogによる攻撃の特徴的な点は、暗号化したデータを盗み出すことなく、単に身代金を要求するだけであることです。これは、データの盗難やリークサイトへの掲載、二重・三重の恐喝といった、より複雑な攻撃手法を用いないという点で、他のランサムウェア攻撃とは異なります。Fogは迅速な支払いを目的としており、攻撃の複雑化よりも速やかな利益確保を優先しているようです。
教育部門が特に標的にされている理由の一つとして、この分野がサイバーセキュリティに関して資金や人員が不足していることが挙げられます。特に夏休みなどの期間は、IT部門の人員が限られているため、攻撃者にとって格好の標的となります。
このような攻撃から身を守るためには、組織内でのクレデンシャル管理の徹底が重要です。攻撃者が権限を昇格させ、重要なデータにアクセスできるようになる前に、侵入を検知し対処する必要があります。
Fogの出現は、ランサムウェア攻撃が依然として進化し続けていることを示しています。教育部門だけでなく、すべての業界がサイバーセキュリティ対策を強化し、常に警戒を怠らないことが求められます。また、このような攻撃に対する意識の高揚と、適切な対策の実施が、今後のサイバーセキュリティの向上に不可欠です。
from 'Fog' Ransomware Rolls in to Target Education, Recreation Sectors.
