Ransomware

ランサムDDoS攻撃で脅迫する攻撃者 “Fancy Lazarus” の復活

Share with your network!

ポイント

  • ”Fancy Lazarus”と呼ばれるランサム型DDoS攻撃をおこなう攻撃グループが復活し、エネルギー、金融、保険、製造、公共事業、小売業など、さらに多くの業種を標的に攻撃をおこなっています
  • このグループと同じ名前を持つAPTとの間にはこれまでのところ関係性は認められていません
  • 今回のキャンペーンでは、グループ名の変更、身代金となるビットコインの量の変更、メール本文の変更など、これまでのキャンペーンとは異なる点があります
  • 組織や企業がこのような攻撃の標的になることを避けることはできませんが、このような脅威の多くは脅迫だけで実際の攻撃に発展しないか、あるいはその攻撃の回避に成功していることが示唆されています
     

概要

2021年5月12日現在、プルーフポイントのリサーチャーは、エネルギー、金融、保険、製造、公共事業、小売など、さらに多くの業種を標的とした、攻撃グループ "Fancy Lazarus "による新たなランサム型のDDoS脅迫活動を追跡しています。 プルーフポイントのリサーチャーは、主に米国企業やグローバルに事業を展開している企業を対象にこの活動を確認しています。 2021年4月から5月にかけて、1ヶ月以上の休息を取った後、攻撃者はTTP(戦術、技術、手順)を変更した新たなキャンペーンを実施しています。

  • 新名称: これまで「Fancy Bear」、「Lazarus」、「Lazarus Group」、「Armada Collective」などと名乗ってきたこのグループは、現在「Fancy Lazarus」を名乗っています。このグループと同名のAPTとの間には、既知の関連性は認められていません。
  • 新価格: 今回の恐喝メールでは、身代金の価格が調整され、10ビットコイン(BTC)という高額な身代金から、現在の2BTCという開始価格に引き下げられています。この変更は、ビットコインの価値が変動することを考慮したものと思われます。
  • メール内容のバリエーション: メール本文の内容については、ある改変版は、2020年8月のオリジナル版を彷彿とさせるもので、いくつかのマイナーチェンジと進化を遂げています。グループがまだオリジナルのメールに戻って手を加えていることは興味深いことで、オリジナル版に効果があったことをうかがうことができます。しかし、2020年8月から現在までの間に、彼らはメールの中で全く異なる文章も試しています。

背景

2020年8月中旬から下旬にかけて、Akamai とFBIはこのグループから身代金を要求するDDoS恐喝メールが送られていることを企業に警告しました。発表された報告書によると、このグループは世界の様々な業種の何千もの組織を標的にしていました。いずれの場合も、ビットコインの支払いを要求し、さもなければ小規模なサービス妨害攻撃を行い、その数日後にはより大規模な攻撃を行うとしています。

攻撃キャンペーン詳細

彼らの攻撃キャンペーンは、いつもセンセーショナルなメールで始まります。図1に示すように、今回のキャンペーンでは、グループが現在使用している名前を発表し、特定の企業を標的にしていることを確認することから始まります。 そして、7日後にDDoS攻撃を行うと脅し、デマではないことを証明するために、特定のIP、サブネット、自律システムに対して行う「小規模な攻撃」について言及しています。最大攻撃速度は "2Tbps "であるとしています。また、ターゲット企業の信頼性を落とす可能性があることや、ターゲット企業のオフィスでインターネットが使えなくなることを警告しています。

 図1. "Fancy Lazarus "が送信している現在のメールの例

 

また、それぞれのキャンペーンは以下のような特徴があります:

  • 受信者:Eメールは通常、BGP(Border Gateway Protocol)や企業ネットワークのWhois情報に連絡先として記載されている個人などを調査し、それらの人々に送信されます。また、メールの送信者は、コミュニケーション、渉外部門、投資家向け広報などの分野で働いている人となっています。 さらに、恐喝メールは、ヘルプデスク、abuseメールボックス、代表連絡先、カスタマーサービスなどの電子メール・エイリアスに送られることがよくあります。
  • メール本文: 同じ受信者に対して、同じ情報を伝える3種類のメールが送信されていますが、メール本文がプレーンテキスト、HTML、JPG画像の添付であることを除いては、同じ内容となっています。これは、検知を回避するための試みであると考えられます。
  • 送信者のEメール: 送信者のEメールアドレスはそれぞれ異なり、標的となる企業に固有のものとなっています。 以前のキャンペーンでは、「Fancy Bear」、「F.B.」、「Armada Collective」、「A.C.」、「Lazarus」、「Lazarus Group」などが送信者に含まれていることが多く、CEOの名前など、標的となった企業の最高位の人物が含まれていることもありました。最新のキャンペーンでは、「First name Last name」というランダムな形式が使用されており、名前は架空のもののようです。 
  • 送信者のEメールプロバイダ:各メールは、様々なフリーメールサービスで作成されています。 
  • 支払い: プルーフポイントは、2021年5月26日におよそ76,000米ドルに相当する2BTCの身代金要求を観測しています。期限を過ぎると2倍の4BTCになり、その後は毎日1BTCずつ増えていきます。ビットコインのアドレスは、潜在的なターゲットごとに固有のものです。

結果

プルーフポイントは、実際に「Fancy Lazarus」DDoS攻撃が行われているかどうかについては把握していませんが、FBIの報告によると、脅威となる期限を過ぎた後、多くは、追加の活動が見られないか、リスクをうまく回避できたとのことです。しかし、 試し攻撃を受けたり、業務への影響が報告されている著名な機関がいくつかあるため、企業や組織は、DoS対策サービスの利用や災害復旧計画の準備など、適切な緩和策を講じて備えることが重要です。