E. S. Nurcan

「ホエーリング」は「フィッシング」として知られるサイバー犯罪の一類です。

非特定の個人を標的とする通常のフィッシング詐欺とは異なり、「ホエーリング攻撃」は、組織の上級ランク(が関与するフィッシングの一種です。 会社の偉い人を真似するからこそ「ホエール」、日本語だとすると「鯨」となります。これには通常、メールテキストを信頼できるものにし、ターゲットの注目を集めるためのソーシャルエンジニアリングが含まれます。

一般的にフィッシングメールとは、全世界に向けて大量に送信され、受け取った人のごくわずかでも引っかかればいい、というものです。一方ホエーリングの場合は、受け取る人が信じてしまうようなもっともらしいスピアフィッシングメールを巧妙に作成し、標的を絞り込んで送りつけます。(Kaspersky 2022

上記の定義は、確かな例がなければ曖昧すぎるかもしれません。 そしたら、これでは私自身の経験であるのホエーリング攻撃の事例をあげましょう。

今日メールスパムフォルダをチェックしたとき、面白いスパムメールを発見しました。

--

--

米国のFBI、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)、財務省からの新しいアラートによると、カラクルトというデータ強奪グループは、ビットコインで2万5千ドルから1,300万ドルまでの身代金のために犠牲者データを集めています。

CISAアラートによると、カラクルトグループは1,300万ドルまでの身代金のために犠牲者データを集めています。

これらの機関によると、カラクルトの犠牲者は、侵害されたマシンやファイルの暗号化を報告していませんが、代わりに、ギャングのメンバーは、身代金を受け取らない限り、盗まれたデータをオークションにかけたり、一般に公開したりすると脅迫しています。

CISAアラートによると、被害者には通常1週間の支払いが与えられます。

「カラクルトのアクターは通常、盗まれたデータの証拠として、盗まれたファイルディレクトリのスクリーンショットまたはコピーを提供してきました。 カラクルトの俳優は、被害者の従業員、ビジネスパートナー、クライアントに嫌がらせのメールや電話で連絡を取り、被害者に協力するよう圧力をかけています」とアラートは説明しました。

「メールには、ソーシャルセキュリティ番号、支払いアカウント、民間企業のメール、従業員やクライアントに属する機密のビジネスデータなど、盗まれたデータの例が含まれています。身代金を支払うと、カラクルトの俳優は、ファイルの削除を証明する何らかの形を提供し、場合によっては、最初の侵入がどのように発生したかを説明する簡単な声明を提供しました。」

「2022年5月の時点で、ウェブサイトには、北米とヨーロッパの被害者に属するとされる数テラバイトのデータ、支払いも協力もしていない被害者を指名するいくつかの「プレスリリース」、および被害者データのオークションに参加するための指示が含まれていました」とCISAが述べました。

当局は、カラクルトは特定の産業や企業を対象としておらず、アクセスのしやすさに基づいて犠牲者を選ぶことが多いと述べた。

グループは通常、盗まれたログイン資格情報を購入するか、他のサイバー犯罪者によって侵害された被害者へのアクセスを購入することによって、システムへのアクセスを取得します。

Emsisoftの脅威アナリストであるBrett Callowは、このグループは2021年半ばから活動しており、Conti(コンティ)ランサムウェアグループのスピンオフであると考えられていると述べました。

Infinitum IT、Advanced Intelligence、Arctic Wolfなど、他のいくつかのセキュリティ企業は、コンティとカラクルトが使用するインフラストラクチャ間の具体的な関係を示すレポートを今年リリースしました。

コンティに関連する大量の文書とチャットがリリースされた後、セキュリティ会社は2つのグループ間に多数のリンクを見つけました。

アドバンストインテリジェンスによると、カラクルトはコンティの背後にあるグループの副業であり、組織がランサムウェアの暗号化プロセスをブロックできる攻撃中に盗まれたデータを収益化できるようにしています。

2022年4月のArcticWolfのレポートによると、クライアントの1人が、以前に会社から身代金を受け取っていたコンティが残したバックドアを介してカラクルトによって侵害されました。ブロックチェーン分析会社Chainalysisは、コンティに資金を送ったカラクルトによって管理されているいくつかの暗号通貨ウォレットも以前に特定しました。

米国の機関は、これらのセキュリティ会社から報告された内容の多くを確認し、身代金の問題の最中にカラクルトが犠牲者を攻撃したことを強調しました。

CISAとFBIが見たいくつかのケースでは、被害者は複数のランサムウェアバリアントから同時に身代金要求を受け取りました。これは、カラクルトのアクターが、別のランサムウェアアクターにも販売された侵害されたシステムへのアクセスを購入したことを示唆しています。

参照(英語):Jonathan Greig (The Record)

--

--

E. S. Nurcan

E. S. Nurcan

A hungry learner for cybersec, tech, and everything political. Öğreniyorum ve yazıyorum, teknoloji, siyaset ve biraz da Asya üzerine.政治、技術、アジア国際関係等について書く。