米国連邦捜査局(FBI: Federal Bureau of Investigation)は10月28日(米国時間)、「Hello Kitty」または「FiveHands」と呼ばれるランサムウェアを用いるサイバー攻撃について、民間企業に警告するフラッシュアラートを公開した。FBIによると、Hello Kitty/FiveHandsを用いる脅威アクター(攻撃者)は、一般的なデータ暗号化による脅迫に加えて、DDoS攻撃や情報漏洩なども利用して被害者に身代金の要求を迫るという。

FBIによるHello Kitty/FiveHandsに関するフラッシュアラートは次のページで公開されている(PDF文書)。

  • Fivehands-HelloKitty FLASH Cord

    Fivehands-HelloKitty FLASH Cord

FBIは2021年1月に「Hello Kitty/FiveHands」を初めて観測したが、その後の追跡調査によって、Hello Kitty/FiveHandsを悪用するグループが暗号化する前に被害者から機密文書を盗むという2重恐喝モデルを実施していることが明らかになったという。これは他の一般的なランサムウェアグループでも見られる傾向で、被害者が迅速に身代金を支払わなかった場合、機密情報を外部に漏らすとして圧力をかける方法である。被害者が身代金の支払いを拒否すると、被害者のWebサイトに分散型サービス運用妨害(DDoS)攻撃を仕掛けることもあるという。

Hello Kitty/FiveHandsランサムウェアは、何らかの理由で漏洩した認証情報や、SonicWall製品の既知の脆弱性(CVE-2021-20016、CVE-2021-20021、CVE-2021-20022、CVE-2021-20023)を用いて侵入を試みる。ネットワークへの侵入に成功すると、脅威アクターはCobalt StrikeやMandiant's Commando、PowerShell Empireといった公開されている侵入ツールと、BloodhoundやMimikatzなどのツールを組み合わせて使用し、権限を昇格したのちに侵入と暗号化を実施する。

FBIのアラートにはHello Kitty/FiveHandsの侵入の痕跡(IOC)に関する情報も掲載されており、感染の防止や侵入の検出に役立てることができる。

一般的に、ランサムウェア攻撃の被害に遭ったとしても、攻撃グループに対して身代金を支払うことを推奨されていない。これは、身代金を支払うことで、攻撃者がさらに別の組織に対する攻撃を行うなど、同様の被害がさらに広まるおそれがあるからだ。そのうえ、身代金を支払ったとしても、被害者のファイルが正しく復元されるとは限らない。

FBIのアラートでは、ランサムウェアの被害を防止するための一般的な対策などの情報も掲載されている。組織のセキュリティ対策を強化するために、IT担当者は一読することをお勧めする。