日本の大手企業Olympus(オリンパス)に対する「進行中」のサイバー攻撃は、米国政府による制裁対象となったロシアのランサムウェアグループによって引き起こされたと、この事件を知る2人の人物が語った。
10月10日に始まったこの攻撃では、「Macaw」と呼ばれる新しいマルウェアの亜種が使用され、米国、カナダ、ラテンアメリカにあるオリンパスのシステムが暗号化されている。Macawは、マルウェア「WastedLocker」の亜種で、いずれも2019年に米財務省の制裁を受けたロシアを拠点とする犯罪グループ「Evil Corp」が作成したものだ。
関連記事
・オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に
・Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)
オリンパスにとってこの数カ月で2度目のランサムウェア攻撃となった。9月にも、ランサムウェアグループ「BlackMatter」によって欧州、中東、アフリカのネットワークがオフラインになっていた(BlackMatterとEvil Corp.の関連性は不明)。
「オリンパスは先月BlackMatterの攻撃を受け、1週間ほど前にもMacawの攻撃を受けました」とセキュリティ会社Recorded Futureのシニア脅威アナリストであるAllan Liska(アラン・リスカ)氏はTechCrunchに話した。リスカ氏によると、Macawは、ハッキングされたコンピューターに、被害者からデータを盗んだと表明する身代金請求書を残すという。
オリンパスは10月19日の声明で「データ流出の可能性」を調査しているとした。これは「二重恐喝」と呼ばれるランサムウェア・グループの一般的な手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、ファイルを復号するために身代金を支払わなければ、ファイルをオンラインで公開すると脅す。
オリンパスの広報担当者Jennifer Bannan(ジェニファー・バナン)氏は、TechCrunchが10月20日に問い合わせた際、質問には答えず、同社が身代金を支払ったかどうかについても言及しなかった。
同社は「当社のシステム、顧客、その患者の安全のため、犯罪者とその行動についてはコメントしません。当社は、影響を受ける関係者に適切な通知を行うことを約束します」との声明を発表した。
財務省の制裁措置により、米国を拠点とする企業はファイルを取り戻すために身代金を支払うことが難しくなっている。これは、米国人が制裁対象の企業と取引することは「一般的に禁止」されているためだ。Evil Corpは、米国の制裁措置を回避するために、これまでに何度もマルウェアの名前を変えたり、修正したりしてきた。
ブルームバーグが10月20日に報じたところによると、先週、80以上の市場で185のテレビ局を所有または運営しているSinclair Broadcast Group(シンクレア・ブロードキャスト・グループ)に対してもMacawが使われ、広い範囲で混乱を引き起こした。Sinclairは10月18日の声明で、同社のネットワークからデータが盗まれたものの、どのような情報が盗まれたのか正確にはわからないと述べた。
Evil Corpは、2020年にランサムウェア攻撃を受けて約1週間サービスを停止したGarmin(ガーミン)や、保険大手のCNAにも攻撃を仕掛けた。
関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker, Carly Page、翻訳:Nariko Mizoguchi)
