2022/01/02

「ハローキティ」を名乗るランサムウェアギャング / The FBI believes the HelloKitty ransomware gang operates out of Ukraine(転載)


The FBI believes the HelloKitty ransomware gang operates out of Ukraine

法執行機関は通常、脅威となる人物に関する情報をできる限り非公開にして、証拠を集め、監視し、容疑者が証拠を隠滅したり、引き渡し条約のない国に避難する前に逮捕を画策する。

しかし、最近発生したデータ流出事件で、オレゴン州の医療機関(OAG/Oregon Anesthesiology Group, P.C.)が偶然にも、ランサムウェア「HelloKitty(FiveHands)」の一味がウクライナで活動しているとFBIが考えていることを明らかにしたようだ。

"2021年10月21日、FBIはOAGに、ウクライナのハッキンググループHelloKittyのアカウントを押収し、OAGの患者および従業員のファイルが含まれていると通知しました。" オレゴン麻酔科グループは、12月6日の侵害開示の中で述べています。

「FBIは、HelloKittyが当社のサードパーティ製ファイアウォールの脆弱性を利用し、ハッカーがネットワークに侵入することを可能にしたと考えています」とも述べています。

HelloKittyランサムウェア(別名FiveHands)は2021年1月から活動していますが、一味の可能性のある場所についての詳細は、これまで共有・公開されていませんでした。

CISAアラート、FBI IC3アラート、NCC Group、Cado Security、Malwarebytes、Palo Alto Networks、SentinelOne、Mandiantといった複数のセキュリティ企業のレポートにも、その場所の可能性について言及されていない。

ウクライナの警察は、この半年間でREvil、Clop、LockerGogaなどのギャングのメンバーの拘束に成功しており、今回のOAGの不手際は、HelloKittyのウクライナの運営者に、新しい管轄区域への移動の必要性を密告した可能性が現実のものとなっているのである。

現在もHelloKitty一味は活発に攻撃を続けています。

多くの攻撃では、企業ネットワークへの侵入口として、パッチが適用されていないSonicWallデバイスが標的にされるのが一般的でした。この攻撃団の最も有名な被害者は、2021年2月にポーランドのゲームスタジオCD Projekt REDでした。