｢年齢の高い男性と45歳以上の女性がターゲット｣､ランサムウェア身代金交渉"恐喝電話の台本"見つかる…周到な手口

23年9月、攻撃グループのリーダー格がほかの攻撃者によるTeams悪用のニュース記事を共有し、自分たちも取り入れるべきだと号令をかけた。

「Teamsのアカウントを1000個作れ」と指示が飛び、大規模な攻撃の準備が始まった。攻撃者自身は「企業でのTeams普及率は80～95%に達する」と見ており、メッセージを送りさえすれば届く確率が極めて高いと踏んでいた。

24年に入ると攻撃は本格化した。グループには電話やソーシャルエンジニアリングの専門要員も少なくとも7人おり、まず大量のスパムメールで標的の受信箱を溢れさせて業務を混乱させ、そこへTeamsで「ITサポート」を名乗って接触する。

社員に遠隔操作ツールをインストールさせ、端末への足がかりを得る手口だ。ある事例では1人の社員に対し45分間で約3000通ものスパムが殺到していた。マイクロソフトやアメリカのCISA（サイバーセキュリティ・インフラセキュリティ庁）も同時期にBlack Bastaの脅威を警告している。

Teamsで社外からメッセージを受信すると「外部」というラベルが表示されるが、攻撃者は社内のIT部門になりすますためにこの外部ラベルを消す方法を模索していた。チャットにはメンバーが削除を試みたものの「すぐにはうまくいかなかった」と報告する場面がある。

それでも攻撃の手は緩めず、「Help Desk」「IT Support」と名乗るアカウントを作成して攻撃に使っていた。不審なメールなら警戒する社員でも、社内のヘルプデスクを名乗るTeamsメッセージにはつい応じてしまう心理を突いた手口だった。

恐喝は「台本」通りに進む

ネットワークに侵入しデータを窃取した後の恐喝にも、周到な準備がなされていた。冒頭の台本は交渉担当のメンバーが共有していたもので、相手がどのような反応を示しても冷静に交渉へ誘導できるよう設計されている。