DarkSideが東芝の欧州支社を攻撃

コロニアルパイプラインのインフラストラクチャで実行された攻撃が成功し、500万ドルの身代金が支払われた後、DarkSideとして知られる脅威アクターグループが別のランサムウェア攻撃を実行しました。今回のDarkSideのターゲットは、日本を拠点とする東芝のヨーロッパのサブディビジョンでした。

5月14日、東芝は、東芝テックグループの欧州子会社がランサムウェア攻撃と「被害を受けた」という最新の被害者になったことを示す情報を公開しました。

東芝は、影響を受けたネットワークのプラグを抜いて、旧大陸と日本の間で動作するランサムウェアとシステムのさらなる拡散を防ぎ、ヨーロッパ間のシステムは被害を最小限に抑えるために停止しました。

現在の情報によると、被害はヨーロッパのいくつかの地域に限定されており、顧客情報が盗まれたという証拠はありません。

顧客情報の漏洩や盗難はなかったとの安心感にもかかわらず、発表には「一部の情報やデータが漏洩した可能性がある」と記載されています。攻撃の原因となったグループは、米国のコロニアルパイプラインシステムにランサムウェアを配備し、数日間続いた大規模な燃料供給停止を引き起こしたDarkSideグループです。

前回の攻撃の結果、500万ドルの身代金が支払われ、コロニアルは攻撃のわずか数時間後に実行しました。迅速な支払いにもかかわらず、ハッカーが提供した復号化ツールは遅すぎることが判明し、会社は独自の内部バックアップを使用して操作を復元しました。東芝は現在同じことを行っており、バックアップを使用して、影響を受けるネットワークを正常に動作させるように取り組んでいます。

DarkSideグループのWebサイトには現在アクセスできませんが、ZDNetは、DarkSideによって公開されたページのキャッシュバージョンが、約740ギガバイトのデータが東芝のシステムから流出し、スキャンされたパスポートと東芝に属するプロジェクトドキュメントが含まれていると主張していると報告しました。

悪意のある人物がこれらのファイルを再公開するかどうかはまだわかりません。ランサムウェアを使用する脅威グループは最近、被害者のファイルを暗号化し、できるだけ多くの機密データを盗み出す二重恐喝モデルに移行し、被害者をさらに脅迫し、身代金の要求が満たされない場合にデータ漏洩を脅かそうとしています。

DarkSideは、サービスとしてのランサムウェアの原則に基づいて動作し、悪意のあるツールをサードパーティのハッカーにライセンス供与します。支払いが完了すると、サードパーティのハッカーは、ランサムウェアを操作およびサポートするトップレベルの脅威アクターと支払いを分割します。

2日前、DarkSideは、すでに3つのターゲットを攻撃していると自慢していました。おそらく、東芝ヨーロッパ支社はこれら3つのターゲットの最初のものでした。