1300万ドルのサイバー攻撃を行うカラクルト強奪グループ
米国のFBI、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)、財務省からの新しいアラートによると、カラクルトというデータ強奪グループは、ビットコインで2万5千ドルから1,300万ドルまでの身代金のために犠牲者データを集めています。
これらの機関によると、カラクルトの犠牲者は、侵害されたマシンやファイルの暗号化を報告していませんが、代わりに、ギャングのメンバーは、身代金を受け取らない限り、盗まれたデータをオークションにかけたり、一般に公開したりすると脅迫しています。
CISAアラートによると、被害者には通常1週間の支払いが与えられます。
「カラクルトのアクターは通常、盗まれたデータの証拠として、盗まれたファイルディレクトリのスクリーンショットまたはコピーを提供してきました。 カラクルトの俳優は、被害者の従業員、ビジネスパートナー、クライアントに嫌がらせのメールや電話で連絡を取り、被害者に協力するよう圧力をかけています」とアラートは説明しました。
「メールには、ソーシャルセキュリティ番号、支払いアカウント、民間企業のメール、従業員やクライアントに属する機密のビジネスデータなど、盗まれたデータの例が含まれています。身代金を支払うと、カラクルトの俳優は、ファイルの削除を証明する何らかの形を提供し、場合によっては、最初の侵入がどのように発生したかを説明する簡単な声明を提供しました。」
「2022年5月の時点で、ウェブサイトには、北米とヨーロッパの被害者に属するとされる数テラバイトのデータ、支払いも協力もしていない被害者を指名するいくつかの「プレスリリース」、および被害者データのオークションに参加するための指示が含まれていました」とCISAが述べました。
当局は、カラクルトは特定の産業や企業を対象としておらず、アクセスのしやすさに基づいて犠牲者を選ぶことが多いと述べた。
グループは通常、盗まれたログイン資格情報を購入するか、他のサイバー犯罪者によって侵害された被害者へのアクセスを購入することによって、システムへのアクセスを取得します。
Emsisoftの脅威アナリストであるBrett Callowは、このグループは2021年半ばから活動しており、Conti(コンティ)ランサムウェアグループのスピンオフであると考えられていると述べました。
Infinitum IT、Advanced Intelligence、Arctic Wolfなど、他のいくつかのセキュリティ企業は、コンティとカラクルトが使用するインフラストラクチャ間の具体的な関係を示すレポートを今年リリースしました。
コンティに関連する大量の文書とチャットがリリースされた後、セキュリティ会社は2つのグループ間に多数のリンクを見つけました。
アドバンストインテリジェンスによると、カラクルトはコンティの背後にあるグループの副業であり、組織がランサムウェアの暗号化プロセスをブロックできる攻撃中に盗まれたデータを収益化できるようにしています。
2022年4月のArcticWolfのレポートによると、クライアントの1人が、以前に会社から身代金を受け取っていたコンティが残したバックドアを介してカラクルトによって侵害されました。ブロックチェーン分析会社Chainalysisは、コンティに資金を送ったカラクルトによって管理されているいくつかの暗号通貨ウォレットも以前に特定しました。
米国の機関は、これらのセキュリティ会社から報告された内容の多くを確認し、身代金の問題の最中にカラクルトが犠牲者を攻撃したことを強調しました。
CISAとFBIが見たいくつかのケースでは、被害者は複数のランサムウェアバリアントから同時に身代金要求を受け取りました。これは、カラクルトのアクターが、別のランサムウェアアクターにも販売された侵害されたシステムへのアクセスを購入したことを示唆しています。
参照(英語):Jonathan Greig (The Record)
