ロシアと北朝鮮のハッカーが韓国の銀行から2テラバイトのデータを盗む

サイバーセキュリティ企業ビットディフェンダーは、韓国の金融業界がロシアと北朝鮮の脅威アクターと関連のある協調サプライチェーン攻撃を受け、その結果Qilinランサムウェアが展開され機密データが盗まれたことを確認した。

ビットディフェンダーは、10月の脅威報告の調査をまとめる際、9月に韓国でランサムウェアdentの異常な増加に気づき、この攻撃の調査を開始したと述べた。 

同国ではその月に25件の襲撃事件が記録されたが、2024年9月から今年8月までの月平均わずか2件という数字とは大きな差がある。 

韓国がQilinランサムウェア攻撃の標的に

Bitdefenderが 報告書 、韓国は今年、ランサムウェアによる被害が米国に次いで2番目に多い国となった。同社が特定した約33件の事例のうち、dent件はQilinランサムウェアグループによるもので、被害を受けた企業のうち24社は金融業界に属していた。 

「この作戦は、大手ランサムウェア・アズ・ア・サービス（RaaS）グループであるQilinの能力と、北朝鮮政府系アクター（Moonstone Sleet）の関与の可能性を組み合わせ、マネージド・サービス・プロバイダー（MSP）の侵害を初期アクセスベクトルとして活用した」と報告書には記されている。

一つであり ランサムウェアグループの 今年 活動は 世界中のランサムウェア攻撃の29%を占めています。

グループ名は中国の神話上の生き物に由来していますが、BitdefenderはQilinがロシアにルーツを持つと考えています。調査の結果、創設メンバーの一人である「BianLian」はロシア語と英語でコミュニケーションを取り、ロシア語圏のサイバー犯罪フォーラムで活発に活動していることが判明しました。 

共同体内の組織への攻撃を避けているdent の一般的なルールである ランサムウェア攻撃 。これはロシアを拠点とする

Qilinはハッカーを雇って攻撃を実行させ、中核運営者は不正な利益の一部を受け取る。また、同グループは「社内ジャーナリストチーム」を擁し、関連企業がデータ漏洩プラットフォーム用の恐喝メッセージや投稿を作成するのを支援していると自負している。

BitdefenderによるKorean Leaksキャンペーンの分析によると、ハッカーたちは政治的な言葉を使ってプロパガンダ風のメッセージを作成し、「活動家」や「愛国者」を装い、韓国の金融業界全体を標的にしていたという。 

8月20日に建設会社が関与した事件では、攻撃者は盗まれたデータには「軍事情報としての価値」があると警告した。メッセージには、橋梁や液化天然ガスタンクなど、数百件の完成済みプロジェクトの設計図や図面が一般公開されていると記載されていた。 

「これらの文書から発見された内容に関する報告書は、すでに金正恩同志のために準備されている」と、麒麟フォーラムで流出した議論の一つには書かれており、ハッカーたちが 北朝鮮のグループ 指導部と情報を共有していたことを示唆している。

Qilinが3波で合計2TBのデータを盗む

Bitdefenderによると、Korean Leaksの攻撃は3つの波に分かれて展開され、28人の既知の被害者から100万件以上のファイルと2TBのデータが盗まれました。その後、さらに4つの組織に関連する投稿がデータ漏洩サイトから削除されましたが、これは身代金の支払い、あるいは運営者による内部判断によるものと考えられます。

第一波は9月14日に公開され、金融管理業界の10件の被害者が含まれていました。第二波は9月17日から19日にかけて公開され、さらに9件が追加されました。第三波は9月28日から10月4日にかけて公開され、さらに9つの組織が標的となりました。 

「我々は数十社の企業データを保有している。韓国のリークは、韓国の株式市場から資金を引き揚げる理由となる。なぜなら、膨大な量のデータを保有しており、その公開は間違い defi韓国市場全体に深刻な打撃を与えるからだ。そして、我々は defiそうする」と、第二波の際にハッカーらが発した脅迫文には記されていた。

ビットディフェンダーは、攻撃者はこの攻撃を腐敗を暴くための取り組みと位置づけ、「株式市場操作の証拠」となり得る文書や「韓国の著名な政治家や実業家」の名前を公開すると脅迫していたと述べた。

20社以上の資産管理会社が 感染 、GJTecというサービスプロバイダーの侵害を受けて、