米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。: まるちゃんの情報セキュリティ気まぐれ日記

February 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

2021.11.04

米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

こんにちは、丸山満彦です。

海外だけでなく、日本でもランサムウェアの被害の重大さが次第に理解されてきていると思いますが、米国FBI-ICS3がランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

● Federal Bureau of Investigation - Internet Crime Complaint Center: FBI-ICS3

・2021.11.01 (industrial alert) [PDF] Ransomware Actors Use Significant Financial Events and Stock Valuation to Facilitate Targeting and Extortion of Victims

Ransomware Actors Use Significant Financial Events and Stock Valuation to Facilitate Targeting and Extortion of Victims	ランサムウェア攻撃者は、重大な金融イベントや株式評価を利用して、被害者を標的にして恐喝している
Summary	概要
The FBI assesses ransomware actors are very likely using significant financial events, such as mergers and acquisitions, to target and leverage victim companies for ransomware infections. Prior to an attack, ransomware actors research publicly available information, such as a victim’s stock valuation, as well as material nonpublic information. If victims do not pay a ransom quickly, ransomware actors will threaten to disclose this information publicly, causing potential investor backlash.	FBIは、ランサムウェア攻撃者が、M&Aなどの重要な金融イベントを利用して、被害者の企業を標的にし、ランサムウェアの感染に利用している可能性が高いと評価しています。ランサムウェアの送信者は、攻撃の前に、被害者の株式評価などの公開情報や重要な未公開情報を調査します。被害者が迅速に身代金を支払わない場合、ランサムウェアの実行者はこれらの情報を公開すると脅し、投資家の反発を招く可能性があります。
Threat	脅威
Ransomware actors are targeting companies involved in significant, time-sensitive financial events to incentivize ransom payment by these victims. Ransomware is often a two-stage process beginning with an initial intrusion through a trojan malware, which allows an access broker to perform reconnaissance and determine how to best monetize the access. However, while this malware is often mass distributed, most victims of trojans are not also victims of ransomware, indicating ransomware targets are often carefully selected from a pool based on information gleaned from the initial reconnaissance. During the initial reconnaissance phase, cyber criminals identify non-publicly available information, which they threaten to release or use as leverage during the extortion to entice victims to comply with ransom demands. Impending events that could affect a victim’s stock value, such as announcements, mergers, and acquisitions, encourage ransomware actors to target a network or adjust their timeline for extortion where access is established.	ランサムウェアは、一刻を争う重大な財務イベントに関与している企業を標的にしており、被害者が身代金を支払う動機となっています。ランサムウェアは、多くの場合、2段階のプロセスで構成されています。まず、トロイの木馬型のマルウェアが侵入し、アクセスブローカーが偵察を行い、アクセスを収益化するための最適な方法を決定します。しかし、このマルウェアは大量に配布されることが多いのですが、トロイの木馬の被害者の多くはランサムウェアの被害者でもないため、ランサムウェアの標的は最初の偵察から得られた情報に基づいてプールから慎重に選ばれることが多いのです。最初の偵察段階では、サイバー犯罪者は公開されていない情報を特定し、その情報を公開すると脅したり、身代金の要求に応じるように被害者を誘うために恐喝の手段として利用します。被害者の株価に影響を与える可能性のあるイベント（発表、合併、買収など）が間近に迫っている場合、ランサムウェアの実行者はネットワークを標的にしたり、アクセスが確立されたところで恐喝のスケジュールを調整したりします。
・In early 2020, a ransomware actor using the moniker “Unknown” made a post on the Russian hacking forum “Exploit” that encouraged using the NASDAQ stock exchange to influence the extortion process. Following this posting, unidentified ransomware actors negotiating a payment with a victim during a March 2020 ransomware event stated, “We have also noticed that you have stocks. If you will not engage us for negotiation we will leak your data to the nasdaq and we will see what's gonna (sic) happen with your stocks.”	・2020年初頭、ロシアのハッキングフォーラム「Exploit」において、「Unknown」と名乗るランサムウェアの実行者が、NASDAQ証券取引所を利用して恐喝プロセスに影響を与えることを推奨する投稿を行いました。この投稿を受けて、2020年3月のランサムウェアのイベントで、被害者と支払いの交渉をしていた正体不明のランサムウェアアクターは、「あなたが株を持っていることにも気付きました。もし交渉に応じてくれないのであれば、あなたのデータをナスダックにリークして、あなたの株がどうなるか見てみましょう」と述べています。
・Between March and July 2020, at least three publicly traded US companies actively involved in mergers and acquisitions were victims of ransomware during their respective negotiations. Of the three pending mergers, two of the three were under private negotiations.	・2020年3月から7月の間に、M&Aに積極的な米国の上場企業3社が、それぞれの交渉中にランサムウェアの被害に遭いました。保留中の3つの合併のうち、2つは非公開の交渉中でした。
・A November 2020 technical analysis of Pyxie RAT, a remote access trojan that often precedes Defray777/RansomEXX ransomware infections, identified several keyword searches on a victim’s network indicating an interest in the victim’s current and near future stock share price. These keywords included 10-q[1] , 10-sb[2] , n-csr[3] , nasdaq, marketwired, and newswire.	・ランサムウェア「Defray777/RansomEXX」に先行して感染することが多いリモートアクセス型トロイの木馬「Pyxie RAT」について、2020年11月に技術的な解析を行ったところ、被害者のネットワーク上で、被害者の現在および近い将来の株価への関心を示す複数のキーワード検索が確認されました。これらのキーワードには、10-q[1]、10-sb[2]、n-csr[3]、nasdaq、marketwired、newswireなどが含まれていました。
・In April 2021, Darkside ransomware [4] actors posted a message on their blog site to show their interest in impacting a victim’s share price. The message stated, “Now our team and partners encrypt many companies that are trading on NASDAQ and other stock exchanges. If the company refuses to pay, we are ready to provide information before the publication, so that it would be possible to earn in the reduction price of shares. Write to us in ‘Contact Us’ and we will provide you with detailed information.”	・2021年4月、ランサムウェア「Darkside」[4]のアクターが、被害者の株価に影響を与えることに関心があることを示すメッセージをブログサイトに掲載しました。このメッセージには、「今、私たちのチームとパートナーは、NASDAQやその他の証券取引所で取引されている多くの企業を暗号化しています。その企業が支払いを拒否した場合、公開前に情報を提供する準備ができているので、株式の引き下げ価格で稼ぐことが可能になるだろう。お問い合わせ」にご記入いただければ、詳細な情報をご提供いたします。"
The FBI does not encourage paying a ransom to criminal actors. Paying a ransom emboldens adversaries to target additional organizations, encourages other criminal actors to engage in the distribution of ransomware, and/or may fund illicit activities. Paying the ransom also does not guarantee that a victim’s files will be recovered. However, the FBI understands that when businesses are faced with an inability to function, executives will evaluate all options to protect their shareholders, employees, and customers. Regardless of whether you or your organization have decided to pay the ransom, the FBI urges you to report ransomware incidents to your local FBI field office. Doing so provides the FBI with the critical information they need to prevent future attacks by identifying and tracking ransomware attackers and holding them accountable under US law.	FBIは、犯罪者に身代金を支払うことを推奨していません。身代金を支払うことで、敵対者はさらに別の組織を標的にするようになり、他の犯罪行為者がランサムウェアの配布に従事するようになり、そして/または、不正な活動に資金を提供する可能性があります。また、身代金を支払っても、被害者のファイルが復元されるとは限りません。しかし、FBIは、企業が機能不全に陥った場合、経営陣が株主、従業員、顧客を守るためにあらゆる選択肢を検討することを理解しています。身代金を支払うかどうかにかかわらず、FBIは、ランサムウェアの被害を最寄りのFBI支局に報告することを強くお勧めします。そうすることで、FBIは、ランサムウェアの攻撃者を特定して追跡し、米国の法律に基づいて責任を負うことで、今後の攻撃を防ぐために必要な重要な情報を得ることができます。
Recommendations	推奨事項
・Back-up critical data offline.	・重要なデータをオフラインでバックアップする。
・Ensure copies of critical data are in the cloud or on an external hard drive or storage device.	・重要なデータのコピーをクラウドや外付けハードディスク、ストレージデバイスに保存する。
・Secure your back-ups and ensure data is not accessible for modification or deletion from the system where the original data resides.	・バックアップの安全性を確保し、元のデータが存在するシステムからデータの変更や削除にアクセスできないようにする。
・Install and regularly update anti-virus or anti-malware software on all hosts.	・すべてのホストにアンチウイルスまたはアンチマルウェアソフトウェアをインストールし、定期的に更新する。
・Only use secure networks and avoid using public Wi-Fi networks.	・安全なネットワークのみを使用し、公共の Wi-Fi ネットワークの使用を避ける。
・Use two-factor authentication for user login credentials, use authenticator apps rather than email as actors may be in control of victim email accounts and do not click on unsolicited attachments or links in emails.	・ユーザーのログイン認証には二要素認証を使用し、電子メールではなく認証アプリを使用すること（アクターが被害者の電子メールアカウントを管理している可能性があるため）。
・Implement least privilege for file, directory, and network share permissions.	・ファイル、ディレクトリ、ネットワークの共有権限に最小権限を導入する。
・Review the following additional resources.	・以下の追加資料も確認する
・・The joint advisory from Australia, Canada, New Zealand, the United Kingdom, and the United States on Technical Approaches to Uncovering and Remediating Malicious Activity provides additional guidance when hunting or investigating a network and common mistakes to avoid in incident handling.	・・オーストラリア、カナダ、ニュージーランド、英国、米国の共同勧告「Technical Approaches to Uncovering and Remediating Malicious Activity」では、ネットワークのハンティングや調査を行う際の指針や、インシデント処理で避けるべき共通のミスについて説明している。
・・The Cybersecurity and Infrastructure Security Agency-Multi-State Information Sharing & Analysis Center Joint Ransomware Guide covers additional best practices and ways to prevent, protect, and respond to a ransomware attack.	・・Cyber Security and Infrastructure Security Agency-Multi-State Information Sharing & Analysis Center Joint Ransomware Guide」では、ランサムウェアの攻撃を防止、保護、対応するためのベスト・プラクティスを紹介している。
・・StopRansomware.gov is the U.S. Government’s official one-stop location for resources to tackle ransomware more effectively.	・・StopRansomware.govは、ランサムウェアに効果的に対処するためのリソースを集めた米国政府の公式ワンストップサイトである。

[1] 10-Q is a quarterly report that must be submitted by all publicly traded companies disclosing relevant information regarding finances.	[1] 10-Qは、すべての上場企業が財務に関する関連情報を開示するために提出しなければならない四半期報告書です。
[2] 10-SB was a filing form used to register the securities of small businesses who wished to trade on U.S. exchanges.	[2] 10-SBは、米国の取引所での取引を希望する中小企業の証券を登録するために使用された申告書です。
[3] N-CSR is a form that registered management investment companies must file with the Securities and Exchange Commission within 10 days after a company disseminates annual and semi-annual reports to stockholders.	[3] N-CSRは、登録された管理投資会社が株主に年次報告書および半期報告書を配布した後、10日以内に証券取引委員会に提出しなければならないフォームです。
[4] Darkside is a ransomware-as-a-service variant, in which criminal affiliates conduct the attacks and the proceeds are shared with the ransomware developer(s). Darkside ransomware was used in the May 2021 Colonial Pipeline intrusion.	[4] Darksideは、ランサムウェア・アズ・ア・サービスの一種であり、犯罪関係者が攻撃を行い、その収益をランサムウェア開発者と共有する仕組みになっています。Darksideランサムウェアは、2021年5月に発生したColonial Pipelineへの侵入に使用されました。