2020年6月9日火曜日

ホンダがランサムに感染する

ホンダがランサムに感染する

BleepingComputreによると、ホンダがAPTグループSNAKEによるランサムウェアの攻撃を受けて、調査が進行中とのこと。同グループの利用するランサムは暗号化の前にデータを盗むようなので影響が懸念されている。

少し前にあった「ホンダがネット上に誤って脆弱性が残るものも含むIT資産情報などを公開してしまった」件などが本件に影響しているかもしれない。

VirusTotalに本件で使われた検体が6/8付でアップロードされていたようで、その検体を解析すると「ホンダ内部と思われるドメインネームがあり、その名前解決できなった場合にはすぐ終了」という動きになるとのこと。

SNAKEというAPTグループは、TurlaとかUroburos, Waterbug, Venomous Bearという別名があり、APT28 (Fancy Bear)やAPT29(Cozy Bear)と比べても洗練されたツールを用いるという評判がある。

MITRE ATT&CKでは、Turlaとして掲載。
(引用)
Turla is a Russian-based threat group that has infected victims in over 45 countries, spanning a range of industries including government, embassies, military, education, research and pharmaceutical companies since 2004. Heightened activity was seen in mid-2015. Turla is known for conducting watering hole and spearphishing campaigns and leveraging in-house tools and malware. Turla’s espionage platform is mainly used against Windows machines, but has also been seen used against macOS and Linux machines.

ロシア政府系ではないかとも言われているサイバー攻撃グループによる犯行だとすると、大規模自動車メーカーがもつ情報(と言っても色々ありますが)窃取が目的なのでしょうか。これから徐々に日本語含めた情報が出てくるかと思いますが、興味深いですね。