トレンドマイクロ株式会社は6月23日、「偽DarkSide」の脅迫キャンペーンについて同社ブログで解説した。 5月に大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題となったが、本件は「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、注目を浴びることになった。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえ、実際に「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことを同社では確認している。 「DarkSide」を騙る偽物が送信した脅迫メールの日本語訳は以下の通り。---DarkSideを装った攻撃者が送信した脅迫メールの日本語訳件名:<企業名>のサーバをハッキングしたDarkSideからのメッセージを伝える。 われわれは、お前たちのサーバをハッキングし、時間をかけてすべての会計報告にアクセスすることができた。多数の財務書類やその他のデータにもアクセスした。これらが暴露されればお前たちの評判に大きく影響するぞ。ハッキングは、簡単ではなかったが、お前たちのネットワークセキュリティ担当者のヘマのおかげで成功した。われわれのことは、JBS社への攻撃に関する報道などで知っているだろう。 機密情報が暴露されたくなかったら、おとなしく100ビットコインの身代金を払うことだ。よく考えてみることだ。これらの機密文書は、簡単に入手できるとなると、一般人だけでなく、税務署やその他の組織も興味を持つだろう。数日の猶予を与える。それまでにしっかり対応することだ。 このビットコインウォレット<省略>から支払え。 --- 同社にて脅迫メールに使用されている内容を精査したところ、メール自体はDarkSideからのものではなく、ランサムウェア「DARKSIDE」の活動にまつわる一連の事例に便乗して利益を得ようとする別の低いレベルの攻撃者、いわば偽DarkSideの仕業であるものと考えられると指摘している。 同社によると2021年6月4日から脅迫メールによる攻撃キャンペーンが開始され、毎日複数の企業の一般的なメールアドレス宛に送信されている。脅迫メール末尾に記載のビットコインウォレットは、どの標的に対しても常に同じものが使用されており、2021年6月18日時点で、当該ウォレットでのビットコインのトランザクションは確認されておらず、支払った被害者はいないと考えられるとのこと。 さらに企業を狙った脅迫メールの送信に加えて、同一の攻撃者が複数の企業のWebサイトの問い合わせフォームから脅迫メールの内容と同一のものを入力している事実も確認されている。 同社では本物のDarkSideとの違いとして、脅迫メールに実際に機密情報を入手したことを証明するような内容が一切書かれていないこと、標的となる企業のネットワーク上のファイルなどのコンテンツが一切暗号化されていないこと、脅迫メールにある自分たちの攻撃キャンペーンの被害者としてJBS社を挙げているがランサムウェア「REvil(別名Sodinokibi)」を扱うDarkSideとは別の攻撃者であることを挙げ、本物のDarkSideの活動に比べて素人である印象を受けると切って捨てている。
