2019年10月24日 (現地時間)、ドイツのセキュリティベンダ LINK11 は、DDoS 攻撃を示唆して仮想通貨を要求する脅迫メールが出回っていると注意を呼びかけています。同社によると、10月中旬以降、複数の組織を対象にメールが送付されていることを観測しているとのことです。JPCERT/CCにおいても国内の組織が同様の脅迫メールを受信していることを確認しています。
LINK11
Warning of Serious DDoS Blackmail Campaigns Attributed to Fancy Bear Group
https://www.link11.com/en/blog/warning-of-serious-ddos-blackmail-campaigns-attributed-to-fancy-bear-group/
同社が確認しているメール本文には、メールの受信組織が管理する Web サイトや使用する IP アドレスなどに DDoS 攻撃を行うとの予告に加え、攻撃を回避するために仮想通貨を期日内に支払うよう要求する内容が含まれています。メール受信後には受信者の危機感を高めるため、実際に最大 60 Gbps の DDoS 攻撃などが行われる場合があり、観測された攻撃として次の特徴が確認されているとのことです。
【観測された DDoS 攻撃の特徴】
1) 攻撃手法として、一般的な DNS、NTP、CLDAP を使用した DDoS リフレクション攻撃に加え、WS Discovery [1] や
Apple Remote Management Service [2] などを使用した攻撃が行われている
2) 攻撃を受ける対象として、Web サイトだけではなく、外部から接続可能なサーバ/インフラも標的となる場合がある
もし、このようなメールを受信した場合は攻撃者の要求には応じず、冷静に対応を行ってください。実際に DDoS 攻撃が行われることを想定し、攻撃が発生した場合の対応体制の確認や、攻撃への対策や利用している対策サービスの状況を確認することをお勧めします。また、外部から接続可能なサーバやインフラについて、悪用や攻撃による被害を最小限にするため、使用するポートやサービスの制限などを検討してください。
[参考情報]
[1]
Akamai Japan ブログ
解き放たれた、新しい DDoS 攻撃ベクトル 35 Gbps の WSD 攻撃
https://blogs.akamai.com/jp/2019/09/ddos-35-gbps-wsd.html
[2]
Netscout
A Call to ARMS: Apple Remote Management Service UDP Reflection/Amplification DDoS Attacks
https://www.netscout.com/blog/asert/call-arms-apple-remote-management-service-udp
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ew-info@jpcert.or.jp