ランサムウェアの標的となった半導体企業

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、2022年現在までに半導体企業に対する ランサムウェア 攻撃を調査しています。 私たちは、半導体産業の戦略的重要性と、ますます複雑化する地政学的環境において半導体産業が果たす独自の役割を分析しました。 また、ランサムウェアの攻撃者が攻撃に使用した戦術、技術、手順(TTP)も特定しました。

Executive Summary

2022年に入ってからこれまでにランサムウェアの攻撃者に攻撃され、恐喝された半導体企業8社を特定しました。 これらの攻撃には、LockBit、LVランサムウェア、Cubaランサムウェアの使用が含まれ、Lapsus$グループやRansomHouseなどの恐喝グループによって行われました。 各グループのTTPと、攻撃の背後にある可能性のある動機を分析しました。 さらに、半導体産業の経済的および戦略的重要性と、それが米中/台湾、およびアジア太平洋地域全体の地政学において果たす重要な役割について調査しました。 この複雑な関係は、近い将来、サイバー犯罪者と国家支援グループの両方による半導体業界に対するサイバー攻撃の増加を予見する可能性があります。

主な判断

• 半導体製造は、情報技術主導のグローバル化が進む今日の経済において重要な産業であり、ランサムウェアの脅威アクターや恐喝グループの主要な標的となっています。
• ランサムウェアの脅威アクターは、半導体企業に対する攻撃でさまざまなTTPを使用しました。 その中には、データを暗号化するためのマルウェアの使用があります。データ漏洩の脅威による恐喝。ソースコードと知的財産の公開。盗まれたコード署名証明書を使用してマルウェアに署名する。また、独自のデータを業界の競合他社やライバルの国民国家に販売する可能性もあります。
• ランサムウェアの脅威アクターの動機は、純粋に金銭的な目的から、スリルを求めるもの、知的財産の戦略的な盗難の可能性まで多岐にわたります。
• ここで分析した半導体企業に対するサイバー攻撃はいずれも国家規模のグループと直接関係しているわけではありませんが、業界のレポートでは、国家が支援する脅威アクターがランサムウェアグループを装い、少なくとも5つのランサムウェアの亜種(LockFile、AtomSilo、Rook、Night Sky、Pandora)を使用してサイバースパイ活動を行っていることが明らかになりました。
• ほとんどの場合、セキュリティ対策が不十分だったため、ランサムウェアの攻撃者による最初の侵害につながり、その結果、データや情報が盗まれました。
• 半導体の覇権をめぐる競争は、中国と台湾の経済競争の中心にあるため、半導体企業に対するサイバー攻撃や産業スパイ活動が続く可能性が高いと考えています。

背景

Manufacturing Leadership Councilによると、2021年のランサムウェアギャングは、すべての産業セクターに対する攻撃の強度を高めました。 製造業は、2021 年の産業用ランサムウェアインシデント全体の 65% を占め、2 番目に多いセクター (食品および飲料) の約 6 倍でした。半導体製造は 2021 年に最も影響を受けたサブセクターの 1 つ には挙げられていませんでした が、2022 年にはこれまでに、LockBit、LV Ransomware、Cuba Ransomware などのランサムウェア ギャング、または恐喝グループの RansomHouse と Lapsus$ Group による 8 件のサイバー攻撃が半導体企業に対して発生しています。

私たちの調査に基づいて、半導体企業への攻撃は必ずしもランサムウェアのオペレーターによって行われているのではなく、ランサムウェア・アズ・ア・サービス(RaaS)および二重恐喝モデルを使用してその関連会社によって行われていることがわかりました。 Conti、LockBit、REvilなど、ほとんどのトップランサムウェアギャングは、RaaSビジネスモデルを採用しており、アフィリエイトはすぐに利用できるツールキットを使用してランサムウェア攻撃を実行し、身代金の支払いが成功するたびに一定の割合を稼ぎます。 RaaS を使用すると、高度な技術的専門知識を持たない脅威アクターが攻撃を開始し、実行することができます。 さらに、前述のすべてのランサムウェアギャングは、被害者のデータをそれぞれの恐喝ブログに漏洩する二重恐喝戦術を採用しており、これらのランサムウェアグループが要求された身代金をかなりの数の被害者に支払わせることに成功していないことを示唆しています。 これは、このレポートで分析された被害者のほとんどに当てはまる。 また、半導体企業を標的にする際には、恐喝を脅かしながらもランサムウェアを使用しない脅威アクターも特定しました。 これは、意図と意志を持つ、より技術的な脅威アクターと非技術的な脅威アクターの両方が半導体企業を標的にしていることを示しています。

半導体は、スマートフォン、パソコン、自動車、家電製品、テレビ、先端医療診断機器などの電子機器の心臓部であるため、半導体セクターの混乱は、他のすべての製造セクターに影響を与える可能性があります。 ランサムウェアのオペレーターは、半導体を価値の高い標的と見なし、メディアの報道を利用して、世界経済にとって半導体が重要であるため、被害者組織に交渉と身代金の支払いを迫っていると考えています。

半導体メーカーは世界的な需要に追いつくのに苦労しており、2020年以降、 チップ不足 が続いています。 金銭的な動機を持つランサムウェアギャングは、この機会を利用して半導体企業を標的にしていると考えられており、その業務に支障をきたすと、COVID-19のパンデミックによってすでに逼迫しているグローバルサプライチェーンに波及効果が生じ、影響を受けた企業が身代金を支払う可能性が高まると考えています。 さらに、犯罪組織や国家の脅威アクターは、半導体業界を標的にして、グローバルサプライチェーンを混乱させる可能性があります。 私たちは、国家が支援するグループが犯罪グループに属するランサムウェアを利用して、半導体製造セクターへの信頼を乱し、チップ生産能力を拡大する能力を戦略的に遅らせている可能性が高いと評価しています。 2022年4月、CNBCは、半導体不足の継続が「GDP成長率を鈍化させ、インフレを押し上げる」可能性がある と報じ ました。 この不足はインフレ税につながる可能性があり、その結果、自動車、テレビ、タッチスクリーンコンピューターなどの影響を受ける電子機器の価格が3%も上昇し、その中には6か月以上受注が滞っているものもあります。

2018年、台湾セミコンダクター・マニュファクチャリング・カンパニー(TSMC)は、北朝鮮との関係を主張するグループであるWannaCryによる 大規模なランサムウェア攻撃を受け 、TSMCはいくつかのチップ製造工場を閉鎖しました。 この攻撃は、TSMCの最も先進的な施設の一部にある10,000台以上のマシンに影響を与え、Appleの将来のiPhoneラインで使用されるはずの製造チップの生産を遅らせ、 収益に約2億5,600万ドルの影響を与える可能性があります。 TSMCは、Advanced Micro Devices(AMD)、NVIDIA、Qualcommなどの世界的なテクノロジー大手向けにプロセッサやその他のシリコンチップも製造しています。

2022年には、カリフォルニア州サンタクララに拠点を置くアメリカの多国籍半導体企業であるAMDとNVIDIAの両方が、それぞれデータの盗難と恐喝の被害に遭ったことが確認されました。AMDは2022年1月にRansomHouseギャングに攻撃され、NVIDIAは2022年3月にLapsus$ Groupに攻撃され、恐喝されました。 また、Samsung、Ignitarium、Diodes Inc.、Etron Technology、SilTerra Malaysia Sdn. Bhd.とSemikronは、2022年に入ってからこれまでにランサムウェア攻撃の影響を受けています。

米国と中国にとっての半導体の戦略的重要性

米国は、中国が重要なチップ製造技術にアクセスすることを拒否する広範かつ長期的な戦略を採用しており、中国の半導体製造国際集団(SMIC)は、2020年9月以降、米国政府が同社のチップメーカー製品の軍事用途への使用の可能性や中国軍との潜在的な関係を理由に挙げて以来、米国から 制裁を受けています 。

SMIC は、 2020年の第4四半期にハイエンドの7nmチップを生産し、TSMC、Intel、Samsungなどの確立された半導体企業に対抗することを計画していました。 SMICの計画は、米国の制裁により、SMICが緊急に必要な機器や設計ツールを手に入れることができなくなったため、悪影響を受けています。 SMICは、半導体生産が中国の2021年5カ年計画の優先度の高い課題であることから、半導体の 自給自足を追求する中国の国家チャンピオンと長年考えられており、中国の半導体自給率の追求をリードすることが期待されている企業です。

2022年7月下旬、Tom's Hardwareは、アナリスト企業のTechInsightsによると、SMICが ビットコイン(BTC)マイナーSoC 用の7nmプロセスノードに基づくチップを製造し、2021年7月から出荷している と報告 しました。テックインサイツはチップをリバースエンジニアリングし、初期画像はTSMCの7nmプロセス技術の近いコピーであると報告しました。TSMCは、SMICの技術をコピーしたとして、2002年と2006年の 2回SMICを訴えました 。 アジアタイムズ紙は、米国の制裁が中国の半導体技術の進歩を止められなかったことについて懸念がある と報じ ました。 台湾はまた、中国が技術を盗み、エンジニアを密猟することで台湾のハイテクセクターに対して経済戦争を仕掛けていると非難しており、中国が産業スパイを行うことで半導体産業における台湾の成功を再現しようとしていると懸念しています。 半導体産業が台湾から中国に移転すれば、世界経済の主要な貢献者としての台湾のアイデンティティが 弱 まり、政府の自治権に対する台湾の主張がさらに弱まることになる。

TrendForceによると、2021年第4四半期時点で、上位5つのファウンドリが世界市場シェアの約 90%を占め ており、TSMCが52.1%でトップ、SMICが5.2%で5位を占めています。 TSMCは、SMICの約10倍の市場シェアで明確なリードを築いています。

Figure 1: Top 10 global foundries by revenue as of the fourth quarter of 2021 (Source: TrendForce)

Figure 2: Chronological data of TSMC’s semiconductor chip technology growth, with 5nm being the latest and most high-end chip in 2020 (Source: TSMC)

2022年8月9日、ジョー・バイデン米大統領は、国内の半導体製造と科学研究に527億ドルを投資することで、米国の対中競争力を強化することを目的とした超党派の法案 に署名しました 。 この法案は、 CHIPS (Creating Helpful Incentives to Producing Semiconductors)および2022年科学法と呼ばれ、半導体製造への投資を奨励するための投資と税額控除の両方が含まれています。 この法案には、自動車や防衛システムに使用されるレガシーチップへの20億ドル、研究開発と労働力開発への132億ドル、国際的な情報通信技術セキュリティと半導体サプライチェーン活動への5億ドルを含む、390億ドルの製造インセンティブが含まれています。 また、半導体および関連機器の製造にかかる資本的支出に対して、25%の投資税額控除を提供します。 これらのインセンティブは、国内供給を確保し、何万人もの儲かる労働組合の建設雇用と数千の高技能製造業の雇用を創出し、さらに数千億ドルの民間投資を促進することを目的としている。 2022年2月には、欧州連合(EU)でも同様の法案が 提案 されました。

この資金を活用するために、「補助金の受給者は、28ナノメートル以上のプロセス技術で作られたチップと定義される「レガシー半導体」を超えて 中国での生産を 10年間禁止されます。」 この法律は、 半導体の才能と投資を米国に引き付けると同時に、TSMCやSamsung Electronicsなどの世界的なチップ大手が米国の資金を使用して中国での能力を拡大するのを阻止しようとすることを目的としています。 中国外務省は、この法案に同国への投資を制限する条項が含まれているため、強く 反対 している。

中国は、半導体チップの製造能力で米国、台湾、韓国にまだ遅れをとっています。 米国は、半導体のバリューチェーンから中国を排除するという戦略的目標を掲げ、米国、台湾、韓国、日本で構成される Chip 4アライアンス を開始しました。このイニシアチブは中国から非難され、反対されています。 中国政府は、米国がチップ供給問題を「兵器化」しようとしていると主張し、韓国にチップ同盟に参加しない よう促 している。

中国は、米国と競争するために新しい製造技術を獲得することに専念しており、知的財産を盗むことでチップ業界を標的にしています。 私たちは、国家的な脅威アクターグループに加えて、金銭的な動機を持つランサムウェアグループも、データを攻撃、窃取、暗号化するインセンティブが強いと評価しています。 ランサムウェア攻撃は、中国の半導体産業の成長と発展に有利な可能性のある情報を盗むだけでなく、米国の半導体産業とその同盟国、特に台湾、韓国、日本の生産プロセスと進歩を遅らせるという戦略的目標を達成することができます。

注目すべき知的財産の盗難とリスクの高い事件

ケーススタディ1:SMICはTSMCから多くのエンジニアを採用

サウスチャイナモーニングポスト は 、主要な上級管理職を含むSMICのエンジニアの多くが台湾、特にTSMCから採用されており、SMICはTSMCの元従業員を雇用する際の知的財産の盗難の疑いでTSMCから訴えられていると報告しました。 また、ロイター通信は2022年5月、台湾が半導体チップ業界の秘密を守り、中国が重要なチップ製造技術を入手するのを防ぐために、 チップエンジニアや技術者を違法に密猟した疑いのある中国企業10社を家宅捜索したと報じた。

事例3:日本の警察はロシア人によるスパイ活動の可能性に厳戒態勢を敷く

2022年7月28日、日本の警察当局は、ロシア通商代表部の職員が日本の半導体企業の従業員と接触していたとして、複数の日本の半導体企業に警告を発しました。 日本の警察は、この職員がスパイ活動に従事し、企業の技術情報を盗もうとしていた可能性があると考えています。 半導体企業への警告は、他国への技術移転を防ぐための日本政府の経済安全保障措置の一環です。

米中緊張の高まりとペロシ下院議長のTSMC訪問

2022年8月2日、ナンシー・ペロシ米下院議長は、中国の報復の脅威の中、 台湾を訪問し 、台湾への支持を大きく示しました。 中国外務省は、この訪問を「一つの中国政策と3つの中米共同コミュニケの規定に対する重大な違反」と呼び、強く非難した。 中国政府は、訪問に抗議するために、駐中国米国大使のニコラス・バーンズを召喚した。 中国はまた、台湾と米国の双方に深刻な結果をもたらすと警告した。 2022年8月3日、中国軍は台湾周辺で大規模な空と海 の演習 を開始した。 さらに、中国は 台湾との貿易を制限し、半導体製造用の砂の輸出を停止し、台湾の柑橘類や特定の種類の魚の輸入を制限しました。

ペロシ下院議長の台湾訪問の一環として、2022年8月3日に TSMCのマーク・リュー会長と会談 し、前述のCHIPSおよび科学法について話し合いました。この法律は、世界の半導体サプライチェーンにおける米国の役割を強化するための米国政府の計画と受け止められています。 同時に、この会議では、台湾と、米国と中国の技術進歩に不可欠なハイエンド半導体を供給するTSMCの戦略的重要性も示されました。 ペロシ下院議長の訪問に先立ち、TSMCの劉会長は、中国が台湾に侵攻すれば、世界で最も先進的なチップ工場が「稼働不能になる」と 述べ 、台湾と中国の軍事衝突は中国、台湾、米国、そして西側諸国全般に深刻な経済的影響をもたらすと警告した。

中国の緊密な同盟国であるロシアは、ペロシ下院議長の台湾訪問を 非難した 。 ロシア外務省のマリア・ザハロワ報道官は、この訪問は、ロシアが近年強力なパートナーシップを築いてきた中国に圧力をかけるためのワシントンによる挑発的な試みだと述べた。 「アメリカは国家の挑発者です」と彼女は言った。 「ロシアは『一つの中国』の原則を確認し、いかなる形であれ[台湾]島の独立に反対する」。

脅威分析

ダークウェブのランサムウェア恐喝ブログやTelegramチャネルのランサムウェアおよび恐喝脅威アクターの調査を通じて、攻撃を受けた以下の半導体企業を特定し、これらのランサムウェアおよび恐喝グループのTTPも分析しました。

図3:2022年上半期の半導体企業に対する大規模なランサムウェア攻撃(出典:Recorded Future)

Lapsus$ Group — NVIDIA(米国)およびSamsung(韓国)

エヌビディア

私たちは、Lapsus$ Groupをランサムウェアギャングとは見なさず、金銭的な動機を持ち、データ恐喝を専門とする低レベルの脅威グループと考えています。 このグループが示すTTPは、他のランサムウェアグループと比較すると異なります。 Lapsus$ Groupはランサムウェアを展開せず、次の攻撃ベクトルを介してデータを盗み出します。

• フィッシングとWebサイトの改ざん
• Large-scale social engineering and extortion campaigns against multiple organizations with the use of the following:
  • RedLine infostealer をデプロイしてパスワードとセッション トークンを取得する
  • 犯罪者のアンダーグラウンドフォーラムやショップからの資格情報とセッショントークンの購入
  • SIMスワッピング
  • JIRA、GitLab、Confluenceなどの内部アクセス可能なサーバー上のパッチが適用されていない脆弱性を悪用する
  • コードリポジトリとコラボレーションプラットフォームを検索して、公開された資格情報と専有情報を探す

2022年2月25日、「DEV-0537」としても知られるLapsus$ Groupは、米国のチップメーカーNVIDIAから1TB相当のデータを 盗み出した と発表しました。 過去数年間のランサムウェアグループによる典型的な二重恐喝キャンペーンと同様に、Lapsus$ Groupは、NVIDIAが身代金要求を支払わなかった場合、データを公開すると脅迫しました。Lapsus$ Groupのより具体的な恐喝手段の1つは、特定のNVIDIAチップセット(GA102およびGA104)のLite Hash Rate(LHR)リミッターをバイパスする方法に関する情報の公開を脅迫することでした。 LHRとは、イーサリアム(ETH)のマイニングに使用されていることをチップが検出したときにハッシュ速度を制限するNVIDIAテクノロジーを指します。 さらに、この攻撃により、電子メールなどのNVIDIAの内部システムが2日間オフラインになった と報告されており 、Lapsus$ Groupは最初の投稿で、すべてのNVIDIA従業員のハッシュ化されたパスワードを含むテキストファイルを公開したと主張しました。 脅威グループからの複数の メッセージは 、彼らが約1週間NVIDIAネットワークにアクセスし、NVIDIAのすべてのグラフィックプロセッシングユニット(GPU)内の特別なクラスのマイクロコントローラーであるFalconを含む、回路図、ドライバー、ファームウェアに関連するデータを盗んだことを示しています。

Lapsus$ GroupがLHR制限に関する情報を公開するという脅威は、過去数年間、暗号通貨マイナーのGPU依存により 供給不足と高価格 に苦しんでいるGPU市場に対する理解に基づいている可能性が非常に高いです。 GPUは、ゲーマーにスムーズな視覚体験を保証するため、PCゲーマーが最新世代のビデオゲームをより高い解像度と応答時間でプレイするために不可欠です。 GPUの価格は、過去数か月にわたる暗号通貨価格(特にビットコインとイーサリアム)の大幅な下落により、 下が り始めたばかりです。 LHR制限は、この技術をバイパスできると宣伝されていたツールがトロイの木馬を展開していることが判明したという 報告 により、過去数週間にセキュリティ上の懸念を別途提起しました。 これらのエピソードは、サイバー犯罪者による暗号通貨エコシステムへの継続的な関心を浮き彫りにしています。

Figure 4: Nvidia’s RTX 3070 GPU pricing was much higher in November 2021 than at the time of its launch in 2020 (Source: PCMag)

Tech Radarが指摘しているように、Lapsus$ GroupがLHR制限仕様をリリースするという脅威は、データが漏洩しないようにNVIDIAが独自にこの制限を解除するという彼らの要求と矛盾しています。この矛盾は、Lapsus$ Groupがバイパスがどのように機能するかを理解していないか、このデータを持っておらず、自分または他人の暗号通貨マイニングの取り組みを支援するためにブラフを試みている可能性が高いことを示しています。

2022 年 2 月に Lapsus$ Group が NVIDIA のコード署名証明書を漏洩した後、セキュリティ研究者は、漏洩した証明書がマルウェアの署名に使用され、悪意のあるプログラムが正当なプログラムを装い、Windows マシンのセキュリティ保護をすり抜けることを可能にしていることを発見しました。

2022年2月の攻撃により、GPUメーカーから20GBのデータが収集され、その中には71,000人以上の従業員のハードウェア回路図、ファームウェア、ドライバー、電子メールアカウント、パスワードハッシュに関するデータが含まれていました。 このグループは、NVIDIAが彼らとの交渉を拒否した後、このデータをオンラインで漏洩し始めました。 このリークには、NVIDIA開発者がドライバーと実行可能ファイルに署名するために使用した2つの盗まれたコード署名証明書が含まれていました。 盗まれた両方のNVIDIA証明書の有効期限が切れていますが、Windowsは証明書で署名されたドライバーをオペレーティングシステムにロードすることを許可します。 セキュリティ研究者によると、盗まれた 証明書を使用して悪意のある バイナリが署名され、マルウェアサンプルデータベースVirusTotalに登場した正規のNVIDIAプログラムを偽装していました。

報告によると、署名されたバイナリは、攻撃者がシステムに保存されている資格情報を列挙して表示できるようにする横方向の移動ツールであるMimikatzとして検出されました。また、Cobalt Strikeビーコンやバックドア、QuasarRATを含むリモートアクセス型トロイの木馬(RAT)など、マルウェアやハッキングツールも検出されました。

図5:2022年2月、Lapsus$ GroupはNVIDIAから1TBのデータを盗み出したと主張しました(出典:Telegram)

Figure 6: Details regarding NVIDIA’s data breach that included 71,335 employee email addresses and NTLM password hashes (Source: haveibeenpwned)

サムスン

2022年3月5日の安全保障問題 報告書 によると、Lapsus$グループは、Samsung Electronicsから盗んだデータを漏洩した責任を主張しています。 盗まれたデータには、次のものが含まれていたとされています。

• 機密性の高い操作に使用されるSamsungのTrustZone環境にインストールされているすべてのTrusted Applet(TA)のソースコード
• センサーと直接通信するソースコードを含む、すべての生体認証ロック解除操作のアルゴリズム
• 最近のすべてのSamsungデバイスのブートローダーソースコード(Knoxデータや認証用コードを含む)
• Qualcomm の機密データを含む、その他のさまざまなデータ
• Samsungアカウントの認証と認証に使用されるテクノロジー(APIやサービスを含む)の完全なソースコード

Lapsus$ Groupは、漏洩したデータを3つの圧縮ファイルに分割しました。 サンプルデータの可用性は、Telegramチャネルで発表され、ダウンロード用のトレントファイルと共有されました。 トレントファイルには、次の3つの圧縮ファイルで利用可能なコンテンツの概要も表示されます。

• パート 1 には、Security/Defense/Knox/Bootloader/TrustedApps やその他のさまざまな項目に関するソース コードと関連データのダンプが含まれていました
• パート 2 には、デバイスのセキュリティと暗号化に関するソース コードと関連データのダンプが含まれていました
• パート3には、Samsung GitHubのさまざまなリポジトリが含まれていました:モバイル防衛エンジニアリング、Samsungアカウントバックエンド、Samsung passバックエンド/フロントエンド、SES(Bixby、Smartthings、ストア)

2022年3月7日、SamsungはBloombergに対し、セキュリティ侵害の後、特定の社内データが権限のない第三者に公開された ことを確認し ました。 Samsungの初期 調査に基づくと、侵害はGalaxyデバイスの操作に関連するソースコードに限定されており、顧客や従業員の個人を特定できる情報(PII)は含まれていませんでした。

図7:2022年3月、Lapsus$ Groupは、TelegramチャネルでSamsungのソースコードを漏洩すると脅迫しました(出典:Telegram)

逮捕

2022年4月1日、シティ・オブ・ロンドン警察は、Lapsus$ Groupと関係があるとされる16歳と17歳の2人の匿名のティーンエイジャーが、悪意のある活動に関与したとして起訴されたことを明らかにしました。

シティ・オブ・ロンドン警察のマイケル・オサリバン警部によると、捜査ではデータの信頼性を損なう意図を持ったコンピューターへの不正アクセスが3件 ずつ確認 されたほか、虚偽の陳述による詐欺や、被害者のデータへのアクセスを不能にするためのコンピューターへの不正アクセスがそれぞれ1件ずつ確認されたとのこと。 さらに、この匿名の16歳の少年は、コンピューターがプログラム機能への安全な不正アクセスを実行できるようにした罪で起訴されました。

捜査で起訴された両名は未成年者とみなされるため、身元の開示が制限されている。 この2人の無名のティーンエイジャーは、2022年3月30日にソフトウェアサービス大手のGlobantに属する70GBのデータを流出させたキャンペーンの7人の容疑者に含まれており、この事件はまだ調査中です。

LockBit 2.0 — Ignitarium(インド)およびLockBit 3.0 — Diodes(米国)

The Record が Recorded Futureがまとめた ランサムウェアの被害者学によると、2019年に運用を開始したLockBitランサムウェアは、Contiを抜いて、公に主張する被害者の数が最も多いランサムウェアになりました。Mandiantの調査によると、LockBitランサムウェアへの複数の侵入は、Evil Corpとして公に報告されているグループと多くの重複を共有する金銭的な動機を持つ脅威アクターグループであるUNC2165によるものとされています。

LockBitランサムウェアの運営者であるLockBitギャングは、過去5か月間に2つの半導体企業を被害者として主張しました。 最初はイグニタリウム(ignitarium[.]com)、 2022年3月23日にLockBit 2.0 Leaked Data(LockBit 2.0の恐喝ブログ)に初めて登場した、インドのシリコンおよび組み込みシステムデザインのブティックハウスです。 2つ目はDiodes, Inc.(diodes[.]com)、 米国テキサス州プレイノに本社を置く世界的な半導体メーカーで、2022年6月29日にロックビット3.0のブログ「LockBit 3.0 Leaked Data」に初めてアップロードされました。 Ignitariumのケースでは、盗まれたデータには同社のソースコードが含まれていましたが、無料でダウンロードできました。 Diodesのケースでは、脅威アクターは、「データシート、X線写真、指示書、テスト、エンジニアのコメント、製造コスト、ウェーハ製造スキーム」などの技術文書を含む2TBの企業データを持っていると主張しました。 データパッケージには、「銀行文書、コンピューター機器メーカーとの契約、注文および出荷の書類、銀行通信やクライアント企業との通信を含む社内通信」などの「機密情報」も含まれていたとされています。 身代金メモには、次のような具体的な指示も含まれていました。

• データリリースの期限を24時間延長するには、10,000ドルの支払いが必要です
• A payment of $14,453,391 to destroy all the information
• In addition, one can pay $14,453,391 to download the data at any moment

脅威アクターは、支払いのために次のウォレットも設定しています。

• BTCウォレット:bc1q9elveqafa7m2e0vdeenjp46qukvjjgpffh2rys
• Monero(XMR)ウォレット:48XyFEbDz4117SopGgaSjAaMK2uXqvnmq7W2wFXKUFPJNdTLFUvgKyx82jcRiWXBDv9ojbijGYyqz9edtrsgZG9NMHG7Xff

このレポートの時点では、これらのウォレットには支払い/取引は表示されていません。

図8:LockBit 3.0の恐喝Webサイトでのデータ公開のためのカウントダウンタイマーを備えたDiodes Inc.のハッキングの発表(出典:LockBit 3.0 Leaked Data)

ロックビット 2.0

In June 2021, an updated version of LockBit ransomware called LockBit 2.0 ransomware emerged, which followed the RaaS model allowing “affiliates to utilize it as desired, provided a percentage of the illicitly gained profits are shared with the LockBit operators as commission”, according to the Australian Cyber Security Centre (ACSC). LockBit 2.0 has been responsible for attacks on a global scale. In addition, since LockBit 2.0 first started posting to their extortion website, LockBit 2.0 Leaked Data, on July 13, 2021, we have identified references to organizations in the following sectors: software, automotive, banking, hospitality, information technology, retail, services, telecommunications, and more. LockBit 2.0 has been observed exploiting an existing vulnerability in the Fortinet FortiOS and FortiProxy products, tracked as CVE-2018-13379, in order to gain initial access to specific victim networks.

ロックビット 3.0

2022年6月27日、LockBit Gangは最新のRaaS事業であるLockBit 3.0を開始しました。 LockBit Gangはまた、ダークウェブで初めて利用可能になったと報じられているバグ報奨金プログラムを開始し、RaaSグループはセキュリティ研究者からバグレポートの提出を募り、1,000ドルから100万ドルの支払いと引き換えにしています。

現時点では、LockBit Gangが暗号化器にどのような技術的変更を加えたかは不明です。ただし、身代金メモの名前は「Restore-My-Files.txt」ではなくなりました。 代わりに [id] の形式に移行しました。 README.txt。 BleepingComputerによると、LockBit 3.0の発売に伴い、この脅威グループは、LockBit 3.0攻撃がまだ進行中である間に、関心のある購入者に盗まれたデータを購入する機会を提供する新しい恐喝モデルも採用しました。盗まれたデータの量に応じて、購入者は直接ダウンロードするか、より大きなパッケージの場合はTorrentsを通じてダウンロードすることができます。 さらに、Trend Microの研究者は、LockBit 3.0のコードの一部がBlackMatterランサムウェアから借用されているように見える ことを指摘 し、そのためLockBit Blackというニックネームが付けられました。

この報奨金プログラムは、価値の高いターゲットに対するPIIやWebセキュリティのエクスプロイトに対して報酬を提供する、刷新されたRaaSプログラムです。 LockBit Gangは、ウェブサイトのバグ、暗号化のバグ、晒し行為、TOXメッセンジャー、TORネットワークなど、他のカテゴリーのバウンティも提供しています。 バグバウンティページの同じ投稿で、LockBit Gangは、ランサムウェアの運用を改善するための革新的な方法とアイデアも募集しています。 その恐喝ウェブサイトによると、LockBit Gangは通常の暗号通貨であるBTCとMonero(XMR)で身代金の支払いを受け付けていますが、今後はZcash(ZEC)も受け入れると発表しました。

RansomHouse — AMD(米国)

2022 年 5 月 1 日、AMD が RansomHouse の Web サイトに掲載されていることを確認しました。 脅威アクターは、研究情報や財務情報など、AMDから450GB相当のデータを盗み出したと主張しています。 脅威アクターは、AMDに属する77,000台以上の侵害されたとされるデバイスを含むデータの無料サンプルをダウンロード用に提供し、推測しやすいパスワードを使用して、被害者とされる人物のセキュリティが不十分であると嘲笑しました。

図9:RansomHouseは、AMDに属するデータを恐喝Webサイトに掲載し、その貧弱なセキュリティを嘲笑しました(出典:RansomHouse)

RansomHouseは、ランサムウェアを使用しないと主張しており、代わりにパッチが適用されていない脆弱性を通じてネットワークを侵害し、被害者のデータを盗むことに焦点を当てています。 2021年12月、最初の被害者であるサスカチュワン州酒類・ゲーミング局(SLGA)を攻撃した後、出現しました。 また、Lapsus$ Groupによって侵害されたNVIDIAとSamsungも被害者としてリストされています。

Emisoftの脅威アナリストであるBrett Callow氏によると、RansomHouseプラットフォームは、White Rabbitランサムウェアを含む独自のツールを使用して攻撃 を実行する 「クラブメンバー」によって使用されているとされています。 ただし、これは、RansomHouseがランサムウェア株を使用して被害者のデータを暗号化しておらず、彼らの恐喝はRansomHouseが盗まれたファイルを公開するために行う脅威のみに基づいているという他の主張とは異なります。 Cyberint の 2022 年 5 月 23 日の レポート では、より広く知られているデータ盗難および恐喝グループである Lapsus$ Group が Telegram チャネルで RansomHouse を宣伝したと述べています。 RansomHouseの正確な起源は不明ですが、Cyberintの研究者は、脅威グループは経験豊富なレッドチームのペンテスターで構成されていると考えています。これは、Cyberintが監視していたTelegramでの通信の一部に基づいています。

LVランサムウェア — SilTerra Malaysia Sdn. Bhd.とSemikronの

2022年6月4日、SilTerra Malaysia Sdn. マレーシアの半導体メーカーであるBhd.が、LVランサムウェアが運営するランサムウェア恐喝サイト「LV Blog」に掲載されました。 以前はWafer Technologyとして知られていた同社は、1995年に設立されました。 脅威アクターによると、侵害された1TB相当のデータには、事業計画文書、保険情報、財務データ、従業員データ、クライアントデータなどが含まれており、これらはすべてダウンロード可能でした。

また、2022年8月4日には、ドイツに拠点を置く独立系パワー半導体部品メーカーであるSemikron社が、恐喝サイト「LV」の被害者として掲載されていることも確認しました。 脅威アクターは、NDA、図面、従業員データ、契約、財務データ、投資データ、顧客データなど、セミクロンから2TB相当のデータを盗んだと主張しています。 さらに、脅威アクターは、セミクロンネットワークには多くのバックドアと脆弱性があると主張し、恐喝ブログの訪問者を別のTORベースのWebサイトに誘導して、利用可能なデータの10%にアクセスしました。 データ取得のためのネゴシエーション用にqToxハンドルも含まれていました。

SilTerra MalaysiaとSemikronに対するランサムウェア攻撃につながった攻撃ベクトルを特定することはできませんでしたが、LVランサムウェア(「.0nzo8yk Virus」とも呼ばれ、2020年6月という早い時期に確認された)は、LV Ransomware Gangのオペレーターが採用したランサムウェアの亜種REvil/Sodinokibi v2.03の修正版であると考えています。 LV Ransomware Gangによって実装されたマルウェアの主な技術アップデートの中には、REvilのオペレーターが感染を追跡するために使用し、独自のサーバーに置き換えられたコマンドアンドコントロール(C2)サーバーの削除がありました。 ダークウェブフォーラムやその他の情報源で、LVランサムウェアのアフィリエイトパートナーの広告、販売、または雇用は確認されていません。

図10:LVランサムウェアの恐喝ブログは、グループがSilTerra Malaysia Sdnから1TB相当のデータを盗んだと主張しています。 Bhdの (出典:LVブログ)

図11:LVランサムウェアの恐喝ブログは、グループがSemikronから2TB相当のデータを盗んだと主張しています(出典:LV Blog)

キューバランサムウェア — Etron Technology (台湾)

2022 年 6 月 13 日、Cuba Ransomware の恐喝 Web サイトである Cuba Leaks からの投稿では、最初に Etron Technology (etron[.]com)を2022年6月1日に発表しました。 財務書類、銀行員との通信、口座の動き、貸借対照表、税務書類、報酬、およびソースコードはすべてダウンロードできます。 2022年6月8日、トレンドマイクロ株式会社(本社:東京都千代田区、代表:杉本 宏)は、2022年4月下旬にアジアを拠点とする組織を標的とした2件の攻撃で、Cuba Ransomware Gangのランサムウェアの新たな亜種が使用されたと報告しました。

Etron Technologyは1991年2月に設立され、バッファメモリとシステムオンチップを専門としています。 Etron Technologyは、台湾の「国家サブミクロンプロジェクト」の先駆者であり、台湾初の8インチウェーハサブミクロン技術の開発を支援し、台湾のDRAMおよびSRAM産業の強固な基盤を構築しました。 台湾に本社を置く上場企業として、Etron Technologyはアジア太平洋地域と国際市場との間の国境を埋めるよう努めています。 米国、欧州、日本、アジア諸国の企業との取引も積極的に行っています。

2020 年 2 月に Cuba Ransomware Gang が初めて出現して以来、そのマルウェアは新しい亜種で何度も再浮上しています。 2022年4月下旬に発見された最新の変異株は、最適化された実行と感染技術を示しました。 この更新により、Cuba Ransomwareは、Microsoft Outlook、Microsoft Exchange、MySQLなどのプロセスとサービスをより適切に終了できるようになりました。 これらのサービスとプロセスは終了し、感染したシステム内のより多くのファイルとアプリケーションを暗号化できるようになります。 ランサムウェアの影響を受けるプロセスとサービスの完全なリストは、トレンドマイクロの レポートで公開されています。

2022年4月のバリアントのもう1つの注目すべき違いは、セーフリストに登録されているディレクトリとファイルタイプが拡張されていることです。 したがって、Cuba Ransomwareのこの最新の亜種は、暗号化中により多くのディレクトリとファイルタイプを回避します。 これは、検出を避けるために行われる可能性があります。 さらに、Cuba Ransomware Gang は、ディレクトリまたは場所に関連するフレーズである新しい亜種では 2 つのコマンドのみを保持していました。 2022年3月に見られた1つの亜種のような以前の亜種には、より多くのコマンドと関数が含まれていました。 敵対者はまた、身代金メモを更新して、被害者が割り当てられた時間内に敵との交渉を拒否した場合、流出したデータは恐喝Webサイトで公開されると述べています。 これは、被害者に対してDDoS攻撃を仕掛ける二重恐喝の方法を使用するという新たな意図を示しています。 身代金メモには「qTox」も含まれており、被害者の身代金支払い交渉のライブテクニカルサポートを容易にします。

攻撃のタイミングと、Etron Technologyが被害者として発表されたことから、新しい亜種がEtron Technologyの攻撃に使用された可能性が最も高いことが示唆されています。 また、Etron Technologyが交渉に割り当てられた時間内に身代金の支払いを拒否した可能性が高く、その結果、Cuba Leaksでデータが開示されたことも示しています。

図12:キューバランサムウェアは、恐喝WebサイトにEtron Technologyに属するデータを投稿しました(出典:Cuba Leaks)

重要インフラに属するデータを暗号化しないことに関するランサムウェアアフィリエイトのルール

ランサムウェアのアフィリエイトは、ランサムウェアのオペレーターにのみ知られており、ランサムウェアのオペレーターが設定した特定のルールに従う必要があります。 例えば、LockBit 3.0のオペレーターは、アフィリエイトが他のランサムウェアオペレーターと協力することを許可していますが、アフィリエイトがそのような活動を報告し、なぜそれをしたのか、競合他社の何が好きなのかを説明することを望んでいます。 また、LockBit 3.0は、原子力発電所や火力発電所などの重要インフラでアフィリエイトがファイルを暗号化することを明示的に禁止しており、これは米国国務省がランサムウェアのオペレーターを取り締まるためにリソースを流用するのを防ぐための措置であると考えています。 しかし、半導体企業はアフィリエイトルールページで重要インフラとして明確に定義されていないため、技術的にはアフィリエイトがデータを盗むだけでなく、半導体企業のファイルを暗号化することもできる可能性があります。 このようなアフィリエイトプログラムは、脅威グループが既存のランサムウェアファミリーを利用して半導体企業の情報を暗号化して盗むことができ、主に金銭的な動機を持つランサムウェアオペレーターが脅威グループから要求される身代金の一部を得ることができるため、脅威グループとランサムウェアオペレーターの両方にとってWin-Winのシナリオと見なすことができます。

図13:LockBit 3.0のルールにより、アフィリエイトは他のランサムウェアオペレーターと協力することを許可し、アフィリエイトが重要インフラ内の企業に属するファイルを暗号化することを明示的に禁止しています。 ただし、アフィリエイトは、暗号化せずに重要なインフラストラクチャに属するデータを盗むことが許可されています。 (情報源: LockBit 3.0 リークデータ)

一線を越えて米国を拠点とする重要インフラを標的にしたサイバー脅威グループは、米国政府による起訴の対象となる可能性があります。 2022年8月11日、米国国務省は、Contiランサムウェアの上位5人のメンバーに関する情報を提供できる人に対して、最大1,000万ドルの報奨金を提供すると発表しました。BleepingComputer は、Contiランサムウェアブランドは閉鎖されたものの、メンバーはまだ完全に活動しており、他のランサムウェア作戦や恐喝グループで活動していると報告しました。 また、Rewards of Justice Programは、米国の重要インフラを標的とした外国に関連する悪意のあるサイバー活動に関する情報を提供するよう個人に奨励しているため、外国の脅威グループが特定され、懸賞金がかけられるリスクを冒したいとは考えにくいでしょう。 これらの脅威グループは、既存のランサムウェアファミリーを使用してサイバー攻撃を行い、これらのグループへの直接的な帰属を防ぐことができると考えています。

Figure 14: US State Department offering a monetary reward of up to $10 million for information about any individual that partakes in malicious cyber activity targeting US critical infrastructure, including those acting at the direction or under the control of a foreign government (Source: US State Department)

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、物理的か仮想的かを問わず、資産、システム、ネットワークが米国にとって非常に重要であり、それらの無力化または破壊が国家安全保障、国家経済安全保障、国家公衆衛生または安全、またはそれらの任意の組み合わせに衰弱させる影響を与えると考えられる 16の重要インフラストラクチャセクターをリストアップしています 。 半導体産業は現在、米国政府によって重要インフラ部門と定義されておらず、 重要製造部門にも明示的にリストされていません。 しかし、本稿執筆時点では半導体産業は重要インフラセクターとしてリストされていないかもしれませんが、その戦略的重要性に対する認識が高まっていることや、米国政府が国内チップ生産を支援する計画などから、米国政府が将来的に半導体企業を重要インフラセクターに分類する可能性は高いと考えています。 これは、ランサムウェアのアフィリエイトがこの業界を標的にすることを防ぐための新たな抑止力として機能します。

また、国家レベルの脅威アクターは、すでにRaaSオペレーターの関連会社となり、半導体企業から知的財産を盗むことを主な目的として、さまざまなランサムウェアファミリーを使用してサイバー攻撃を行っている可能性があると考えています。 そうすることで、これらの国家レベルの脅威アクターは、すぐに利用できるランサムウェアを利用して情報を暗号化して盗み、サイバー攻撃をランサムウェアグループからの攻撃のように見せかけることができます。 重要インフラ企業や半導体企業など、注目度の高い標的への攻撃が世界中で注目を集める中、脅威グループは匿名を装って活動することが多く、代わりにランサムウェアグループに帰属を転用しています。

ランサムウェア攻撃をIP盗難の隠れ蓑として利用する中国のAPTグループ

国家が支援する脅威活動グループと、本レポートで紹介した半導体企業へのサイバー攻撃との間に直接的な関連性は見つからなかったものの、Secureworksの研究者は、2021年から活動している中国を拠点とするAPTアクターであるBronze Starlight を発見し ました。 Bronze Starlightは、ランサムウェアと二重恐喝攻撃を、国家が支援する組織的なサイバースパイ活動と知的財産の盗難のカモフラージュとして使用しています。 Secureworksの報告によると、ブロンズスターライトの被害者の4分の3は、製薬会社、電子部品設計者、製造会社など、中国国家が支援するサイバースパイグループが通常関心を持っている組織です。 APTグループは、LockFile、AtomSilo、Rook、Night Sky、Pandoraの少なくとも 5つのランサムウェア亜種 を攻撃に使用しています。 このグループは、機密データを暗号化し、被害者組織にデータを公開すると脅迫することで、ブロンズスターライトが表面的には金銭的な動機を持っているように見せかけるという二重恐喝戦術を使用しています。

しかし、Secureworksは、 本当の目的は 中国の経済目標を支援するためのサイバースパイ活動と知的財産の窃盗であるように思われ、APTグループは各ランサムウェアファミリーで短期間に少数の被害者を標的にしただけであると主張しています。 このような短期間で被害者の数が少ないため、セキュリティ研究者から注目が集まりすぎると、APTグループではなくランサムウェアグループに起因することになります。 このような特性は、一般的なランサムウェアアフィリエイトの運営方法と一致していません。アフィリエイトは通常、犯罪活動から最も多くの金銭的利益を得るために、複数の組織に対してできるだけ多くの攻撃を行います。 このケースでは、Bronze Starlightは、中国政府にとって価値があると考えられる価値の高いIPを持つターゲットを慎重に選択し、一見価値の高い情報やデータを持たない他の組織を攻撃しませんでした。 また、Bronze Starlightは、HUI Loaderと、中国が支援する脅威グループのみに関連するリモートアクセス型トロイの木馬(RAT)である比較的まれなバージョンであるPlugXを利用したと 報告 されています。

編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。