「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず

JPCERT/CCの観測システムにおいても、攻撃の一部とみられるパケットを確認。国内組織を狙った攻撃に関する情報も把握しており、警戒を呼びかけている。

脅迫メールは、外部に公開された組織のメールアドレスへ届くことが多く、「Fancy Bear」「Lazarus」「Armada Collective」などを名乗るケースが多い。脅迫の信憑性をもたせるため、既存の著名な攻撃グループに便乗している可能性がある。

メールの本文では、6日以内に支払いを求めており、メールを公表すると攻撃をするといった記載も見られた。要求額は一定ではないがBitcoinで10〜20BTC、日本円に換算すると1100〜2200万円超と大きく、期限を過ぎると増額すると受信者の不安を煽る。

攻撃手法としては、「SYN」「GRE」「ESP」「TCP ACK」パケットを用いたフラッド攻撃や、「SNMP」「DNS」「SSDP」「CLDAP」「ARMS（Apple Remote Management Service）」といったプロトコルによるリフレクション攻撃を用いていた。

攻撃対象はウェブサイトに限らず、外部から接続可能なサーバやインフラも攻撃対象になりうるおそれがある。

（Security NEXT - 2020/09/07 ）ツイート