2019年11月17日、米国ウィスコンシン州で介護施設などにMSP事業を行っているVirtual Care Provider Inc(VCPI)は標的型ランサムウェア Ryuk の被害を受け1400万ドル相当の身代金を要求されていたとしてBrain Krebs氏がブログで取り上げました。同氏の取材によれば今回の被害の1年以上前からVCPIがEmotetやTrickBotに侵害されていた可能性を取り上げています。ここでは関連する情報をまとめます。
krebsonsecurity.com
被害を受けたのはMSP事業者
- VCPIは米国ウィスコンシン州で事業を行っている企業。米国45州に点在する約110の介護施設、救急医療施設を対象としたMSP事業(ITコンサル、ISP、データストレージ、セキュリティ等)を行っている。
- これらの施設のMSP事業を行うため、約8万台のPC、サーバーの運用を行っており、今回ランサムウェアではこれらの運用設備が被害に遭ったとみられる。
被害の状況
ランサムウェアにより次のサービスが停止するなどの影響が及んだ。
- インターネットへの接続
- 電子メールの送受信
- 患者記録へのアクセス
- 顧客の請求情報
- 電話システム
- VCPIの給与計算などを含む中核のシステム(150人近くの従業員に影響)
VCPIの対応
- 暗号化されたシステムの復号キーと引き換えに約1400万ドル相当(約1億5千万円)のBitcoinが要求されている。VCPIはこれを支払う余裕はなく、復旧ができない場合一部顧客に影響が及ぶ可能性についてKrebs氏の取材に対し言及している。
- 介護施設向けのVPNサービスの復旧を優先して作業に当たっている。従業員からは給与支払いへの影響を懸念する声もあるが、医療情報のバックアップ等、生命にかかわる状況の回復が最も優先されるとVCPIのCEOはコメントしている。
VCPIもEmotetに感染していた可能性
- VCPIの被害事例でもEmotet、またはTrickBot、あるいはその両方に感染し組織内部が侵害されていた可能性がある。これらはRyukによる被害から遅くとも14か月以上前(2018年9月頃)に発生していた模様。
- これはKrebs氏の取材記事で記載されたもので、Hold SecurityのAlex Holden氏の言質をソースとする情報。
- Alex氏はダークウェブの通信監視から得た情報よりこれを判断しており、Krebs氏にその情報を公開している。(KrebsOnSecurityの記事中では具体的な内容は記されていない。)
- VCPIより顧客向けに共有されたとみられるレポート中に「Ryuk」による被害を受けたという記述が存在する。
- 先のレポートでは次の記述があり、VCPIがTrickbotによりRyukに感染したと報告されている。
We regret to inform you that our business was attacked with Ryuk encryption ransomware spread by TrickBot virus.
Triple threat、EmotetとTrickbotとRyukの関係
- Emotetで侵入後、Trickbotで内部拡散し、一部の組織ではその後に標的型ランサムウェア Ryukによる被害を受ける事例がこれまでも報告されている。
- EmotetからTrickbotの展開までが1セットでその後ランサムウェアの被害を受けるかは実行者側の何らかの判断が入っている(あるいは侵害後の基盤を受けついだ別グループによる行為)という推測が各社により行われている。
- piyokangoが確認した限りでは、Ryuk被害を明らかにしている日本国内で公知となった事例はない。
直近に起きた標的型ランサムウェアの事例
- 2019年11月4日にNTTデータのスペイン子会社であるEverisはRyukとは別の標的型ランサムウェアであるBitPaymerの被害を受けたと報じられている。Virustotalに上がっている関連するとみられる検体を分析したBluelivはこの時に悪用されたのはEmotetではなくDridexが侵害の端緒だったとみている。(VTのCommentにEmotetと書かれていたことからこれをそのまま取り上げている例がある模様。)
- 2019年11月27日にはスペインのセキュリティ企業 Prosegurが標的型ランサムウェアによる被害を受けサービス提供に支障が生じた。同社はTwitterを通じてRyukであることを発表したが、詳細は調査中で攻撃は「generic attack」とだけ表現されておりEmotetやTrickbotが関連したものであったか明らかにされていない。
更新履歴
- 2019年11月29日 AM 新規作成