NetGainがランサムウェア攻撃を受けデータセンターが停止

マネージドサービスプロバイダー のNetGain Technologiesは、11月下旬に受けたランサムウェア攻撃の影響で、一部のデータセンターの停止を余儀なくされました。

ミネソタに本拠を置く同社は、「この脅威を封じ込め、サービスを回復する」ための未然防止策として「多数の」 データセンター を停止した、と主張しています。

NetGainが被害にあったのは11月24日でしたが、同社は12月4日まで、今回のランサムウェア攻撃に伴う「システム停止や処理速度低下」の可能性に関する警告メールを顧客に送信しなかった、とBleeping Computer は報じています。同社は先週末に、ランサムウェア攻撃を隔離し、被害を受けたシステムを再構築するためにデータセンターのシャットダウンを開始しました。

ドメインコントローラーの再構築

同社は顧客向けの公式メッセージの中で、セキュリティスペシャリストや障害復旧のエキスパートと共に「被害を受けた環境の検出、隔離、そしてクリーンアップを行うツールを走らせ、検出スキャンを実施した」と説明していますが、サービス復旧時期の見通しについては伝えていません。

NetGainは多くの情報を一般に公開するよりむしろ、顧客への説明をより積極的に行うことを選択しました。

ある顧客の話によると、 NetGainはデータセンターを再稼働させる前にドメインコントローラーを再構築し、ネットワークのスキャンを行う必要があると言います。そのうえでマルウェアやその他の異常がないか、個々のサーバをスキャンする必要もあります。

その顧客は、攻撃対象は数千台のサーバのネットワークを管理するデータセンター事業者のドメインコントローラではあったが、攻撃者がそれ以上の悪事を行っていないことを確認する必要もある、と付け加えています。

さらに、スキャンやその他のセキュリティチェック、セキュリティアップデートを完了させ、すぐにサービスをオンラインに戻すべきだとしています。現在60人以上のスタッフがこの問題解決に向けて24時間体制で対応しています。

今回のNetGainへの侵害は、データセンター大手エクイニクスの内部システムがランサムウェアの被害を受けた事件のわずか2か月後に発生しました。ただしその際、エクイニクスデータセンターの稼働には影響を及ぼしませんでした。一方2019年後半にCyrusOneデータセンターがランサムウェア攻撃を受けた際は、最終的に6社の顧客に影響を及ぼしました。

NetGainへの侵害は、ランサムウェアの攻撃者がパートナープラットフォームを使い始め、検知を逃れるために攻撃ツールを効率化し始めたことに関連します。さらに、被害者に対してさらなる影響力を与えるために、攻撃を開始する前に、侵入するシステムからデータを盗み出し始めた攻撃者もいます」

---

攻撃者は、身代金の要求が受け入れられない場合、機密データを公開すると脅迫します。場合によっては、1か月以上サービスの停止を余儀なくされるケースもあります。

2019年12月末、外国為替企業のトラベレックスは大晦日にランサムウェア攻撃を受け、1月末までシステムが停止するという被害を受けました。その結果、トラベレックスの外貨カードに関連する外貨両替を行っていた世界中の顧客は、現金へのアクセスが出来なくなりました。またトラベレックスに外国為替を依存していた銀行は、サービスを停止せざるを得ませんでした。

一方で、トラベレックスの経営陣は、最初の2週間は攻撃に関する情報をほとんど公開せず、英国の情報コミッショナーオフィス（Information Commissioner’s Office：ICO）への報告も怠ったことで厳しく批判されました。

トラベレックスはシステム復元のために攻撃者に230万ドルの身代金を支払ったと報じられていますが、ランサムウェア攻撃のワンツーパンチに続き、世界的なCOVID-19パンデミックに伴い海外旅行が大幅に減少したため、同社は2020年8月に破産申請をしました。

NetGain社は今回のランサムウェア攻撃に関して 報道機関からの問い合わせには応じていません。

Data Center Dynamics

原文はこちら