2025年8月28日、ランサムウェア グループBlackNevasがトヨタ アジアとトヨタ インドへのサイバー攻撃と不正アクセスを主張し、従業員の個人情報や貴社の機密情報、合計4TBを窃取したと主張しています。
一方で身代金支払い期限を超過した後も、公開されているサンプル以外は情報が公開されていない為、真偽は不明です。
ランサムウェア グループBlackNevasの主張
日本語訳
こんにちは。 貴社のITサービス部門が、貴社の企業ネットワークへのハッキングとデータ漏洩に関する情報を隠蔽していたと思われます。 詳細をお伝えします。 貴社の企業ネットワークの脆弱性調査を実施しましたが、問題が見つかりませんでした。
従業員の個人情報や貴社の機密データを含む4TBのデータが流出しました。 貴社とトヨタの他のネットワークとの連携や構造を悪用し、貴社の他のネットワークへの侵入口を確保することができました。 貴社のシステム管理者は、ネットワークへの侵入経路として最も明白かつ原始的な手段を排除することができました。
貴社および他の企業ネットワークへの残りの侵入経路は正常に機能しています。 貴社のご厚意とご厚意により、この段階でこの問題を解決し、大規模な情報提供、トレーダー、そして一般の方々にこの問題に気づいていただくことができました。 SECから私たちが注力しているデータを時間をかけて抽出していくことで、取引額は大幅に増加するでしょう。 ハッキングブログへの記事掲載を準備中です。合意に至らない場合は、記事を公開し、関係者全員にお知らせいたします。
BlackNevasが窃取したとする情報
セキュリティ対策Labで確認すると
・一部図面データ
・機密情報として記載されている書類情報
が公開されていました。
一方で少数のサンプルデータ以外は引き続き公開されておらず、このサイバー攻撃事態の真偽は不明です。
また、今のところトヨタ本社やその他のグループ会社の情報は一切含まれていません。
BlackNevasとは
センチネルワンによるとランサムウェア、BlackNevas(別名:Trial Recovery)は、2024年11月に初観測されたTrigona系の派生/亜種で、金銭目的の恐喝に注力するランサムウェアと同名のグループです。被害組織の「晒し」を前面に出すよりも、データ流出の“委託”に重きを置き、Kill Security、Hunters International、DragonForce、Blackout、Embargo Team、Mad Liberatorなど他グループの基盤を“パートナー”として利用するとされています。
ターゲット(誰が狙われるか)
業種を限定せず大企業中心に攻撃します。観測例としては金融、通信、製造、医療、法律などが含まれます。特定の地域・業界に偏らず、機会主義的に狙う傾向です。
多環境対応(どこで動くか)
BlackNevasはWindows / Linuxに加え、NAS暗号化やESXi向けのビルドを持ち、各OS内でもx64/x86/ARMなど複数アーキテクチャをサポートします。仮想化・ファイルサーバなど企業の中核インフラを直接狙える点が特徴です。
配布・侵入(どう入ってくるか)
侵入経路はキャンペーンごとに異なり、スピアフィッシングと既知脆弱性の悪用が確認されています。到達後は、SMB列挙・横展開機能(/!lanや/!localでON/OFF可)を用いて範囲を拡大します。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.