身代金要求の脅威ふたたび：金融と小売を標的とした昔ながらの攻撃者による新たな DDoS 脅迫

後述しますが、Akamai SIRT は Armada Collective や Fancy Bear と名乗る攻撃者からの攻撃を追跡してきました。これらの攻撃者は、金融、旅行、e コマースなど、さまざまな業種に身代金要求の脅迫状を送っています。 

前回のアドバイザリ情報に加え、現在は、ARMS、DNS フラッド、GRE プロトコルフラッド、SNMP フラッド、SYN フラッド、および WSDiscovery フラッドを主な攻撃ベクトルとして使用し、攻撃のピークは約 200 Gb／秒となっていることを確認できました。これらの脅迫攻撃では、特定の地域が標的となっているわけではないようです。身代金要求の脅迫状を受け取った組織は、英国、米国、アジア太平洋地域に所在しています。 

現時点では、身代金要求の期限後に、脅迫どおりの攻撃が開始された事例は確認されていません。したがって、標的とされた組織が身代金を支払うかどうかに関係なく、結果は同じであると考えられます。そのため Akamai は引き続き、標的とされた組織に対し、こうした要求があっても身代金を支払わないようにお勧めしています。 

また、このような脅迫攻撃を行っている攻撃者は、可能な限り少ない労力で迅速な支払いを期待していると考えられます。

Akamai の Security Intelligence Research Team（SIRT）は、先週またはその前後に複数のセクターの企業を標的として発生した一連の DDoS 攻撃を調査しています。これらの脅迫の要求内容は、過去に DDoS ランサムグループが使用していたものと似ています。

最初の連絡は脅しの電子メールから始まります。このメールは、ビットコインでの支払いに応じなければ、その企業に近々 DDoS 攻撃が仕掛けられると警告する内容です。脅迫状の文面は、過去の DDoS 脅迫キャンペーンの際にメディアに公開された内容と酷似しています。また 2019 年 11 月に Akamai が文書にまとめた DDoS 脅迫キャンペーンの内容とも似ています。

なかには、脅迫状の存在を公に開示した場合（つまりメディアに公開した場合）、ただちに攻撃が開始されると警告するケースもあります。

Akamai が目にした Armada Collective からの脅迫状では、身代金は 5 BTC から始まり、期限を守れないと 10 BTC に増え、その後は 1 日ごとに 5 BTC ずつ増えていきます。一方、Fancy Bear は 20 BTC から始まり、期限を守れないと 30 BTC に増え、その後は 1 日につき 10 BTC ずつ増えていきます。

この種の脅迫のほとんどは、身代金の要求について一定のパターンに従うケースが一般的ですが、攻撃者自身の気まぐれで金銭的な要求部分が変化することもあります。

攻撃者は脅迫状のなかで、目的とする被害者組織の資産を特定し、本気であることを証明するために小規模な「テスト」攻撃を行うと約束します。なかには、最大 2 Tbps の DDoS 攻撃を仕掛けることができると、自らの能力を誇示する場合もあります。 

私たちは、Akamai ネットワークのお客様が 50 Gb／秒の攻撃の標的となったことを知っています。そのトラフィックは UDP ベースの ARMS プロトコルリフレクション攻撃で構成されていましたが、現時点では使用されたリフレクターの数は不明です。

Akamai SIRT はこの脅迫について、支払いを促すための脅しの手段として既知の攻撃グループの評判を利用しているのではないかと疑っています。

もし脅迫状を受け取ったとしても、支払いに応じないことをお勧めします。身代金を支払っても攻撃が終わる保証はありません。要求に応じて身代金を支払えば、攻撃しているグループに資金を提供しているだけです。