概要:BBC記者を狙ったランサムウェア攻撃
Medusaランサムウェア集団が、BBCのサイバーセキュリティ担当記者ジョー・タイディ氏に対し、同社のネットワークへの侵入に協力するよう持ちかけました。攻撃者らは、タイディ氏のラップトップを利用してBBCの内部システムにアクセスし、その後、巨額の身代金を要求する計画でした。この計画が成功した場合、支払われた身代金の最大25%をタイディ氏に提供すると提案されていました。
脅迫と誘惑の詳細
今年7月、サイバー犯罪者「Syndicate」(通称「Syn」)が、暗号化メッセージアプリSignalを通じてタイディ氏に接触しました。当初、Synは身代金の15%を提示しましたが、後にさらに10%を追加し、合計25%に引き上げました。Synは、BBCへの侵入が成功すれば「数千万ドル規模の身代金を要求できる」と述べ、タイディ氏がその分け前で「二度と働く必要がなくなる」と誘惑しました。
攻撃者らは、タイディ氏の匿名性を保証し、過去に内部協力者によってMedusaが標的のネットワークに容易にアクセスできた事例を複数挙げました。さらに、攻撃開始前に、ハッカーフォーラムのエスクローサービスを通じて0.5BTC(当時55,000ドル以上)を前払いするという具体的な提案も行われました。Synはタイディ氏に対し、「我々はブラフや冗談を言っているわけではない。メディア目的ではなく、金のためだけに動いている」と伝えました。
Medusaランサムウェアの背景
Medusaランサムウェアは、2021年1月に登場した比較的新しい脅威アクターです。彼らは二重脅迫攻撃と、2023年に立ち上げた恐喝ポータルで悪名を馳せています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が3月に発表した報告書によると、Medusaは米国で300以上の重要インフラ組織を攻撃しています。同集団は、サイバー犯罪フォーラムやダークネット市場で初期アクセスブローカーを募集し、侵害後の段階に焦点を当てて活動しています。
攻撃の試みとMFA爆撃
タイディ氏は、攻撃者らが自身をBBCの特権的なサイバーセキュリティ従業員と誤解したと考えています。Synはタイディ氏に悪意のあるスクリプトの実行を促しましたが、タイディ氏が躊躇すると、彼の携帯電話に大量の二要素認証(MFA)要求が殺到しました。これは「MFA爆撃」と呼ばれる戦術で、標的が諦めてログインを許可するまで、認証要求を自動的に生成し続けるものです。
しかし、タイディ氏は屈することなく、BBCの情報セキュリティチームに連絡しました。予防措置として、彼は組織のインフラから完全に切断されました。その後、SynはMFA要求について謝罪し、オファーは数日間有効であると伝えましたが、タイディ氏からの返信がなかったため、Signalアカウントを削除しました。
内部脅威の深刻な問題
この事件は、ランサムウェア集団が内部協力者を積極的に利用しようとしている現状を浮き彫りにしています。LockBitのような他のランサムウェア集団も、数年前からアクセス権を売却する意思のある不正な従業員の可能性を探っています。給与が低い、組織に不満を抱いている、あるいは単に非倫理的な従業員が、わずかな金銭と引き換えに数百万ドル規模の損害を引き起こすケースが報告されており、一部の脅威アクターはこれを当てにしています。