「こんにちは、私の名前はエリックです。御社で発生したサイバーセキュリティインシデントについてお電話しています。経営陣の方とお話しすることは可能でしょうか?」
丁寧な口調で始まるこの電話の台本には、想定問答から相手が拒否した場合の切り返しまで用意されている。
一見するとコールセンターの応対マニュアルのようだが、読み進めると「財務記録は確認済みです。支払えないとは言わないでください」「財務責任者の自宅と個人の電話番号を持っています」といった文言が並ぶ。
これはランサムウェア攻撃グループBlack Bastaのメンバーが内部で共有していた恐喝電話の「台本」だ。
ランサムウェアの恐喝はデータ暗号化とリークサイト(窃取データの公開に使うサイト)での脅迫が中心だが、被害者に直接電話をかける手口も一部では確認されている。ただし、その具体的な手順が明らかになることはほとんどなかった。
Black Bastaはデータの暗号化とデータ公開の二重の脅迫で、2022年以降に世界各国の500以上の組織を攻撃してきた。25年2月にその内部チャットが流出し、49人のメンバーによる約1年分・約20万件の会話が明るみに出た。
前回はこの流出データからグループの内幕を描いたが、今回は筆者が1次データを精査する中で見えてきた実態に焦点を当てる。恐喝の「台本」からターゲットの選定、身代金交渉の駆け引きに至るまで、攻撃の各段階が合理的に設計され運用されていた。
「ITサポート」を装い、社員に近づく
恐喝を実行するには、まず標的のネットワークに侵入しデータを窃取する必要がある。その侵入の起点として狙われたのが、多くの企業で社内連絡に使われているMicrosoft Teamsだった。Teamsには社外の相手にもメッセージを送れる機能がある。
次ページが続きます:
【恐喝は「台本」通りに進む】
