Threat Actor Farnetwork Linked to Five Ransomware Schemes 2023/11/08 InfoSecurity — セキュリティ研究者たちが公表したのは、過去数年間にわたって複数の RaaS (Ransomware-as-a-Service) プログラムに関与し、現在は別のプログラムを展開している脅威アクターの情報である。Group-IB は新しいレポートの中で、”farnetwork” は遅くとも 2019年から活動しており、アンダーグラウンドでは farnetworkl/jingo/jsworm/razvrat/piparkuka/farnetworkit として活動していると主張している。
New Hunters International ransomware possible rebrand of Hive 2023/10/29 BleepingComputer — Hive ランサムウェアが用いていたコードを再利用する、Hunters International という新たな RaaS (Ransomware-as-a-Service) ブランドが登場した。両者を関連性を示唆する仮説は、新しい暗号化プログラムの分析で明らかになった、この2つのランサムウェア・ギャングの間での、複数のコードの重複により裏付けられている。
Cybersecurity firm Sophos impersonated by new SophosEncrypt ransomware 2023/07/18 BleepingComputer — サイバー・セキュリティ・ベンダー の Sophos が、新しい RaaS (ransomware-as-a-service) になりすまされているが、この脅威アクターは同社の名前を取り込んだ、SophosEncrypt という名前で活動している。この、昨日に MalwareHunterTeam により発見されたランサムウェアは、当初は Sophos 自身のレッドチームによる演習の一環と考えられていた。しかし、Sophos X-Ops チームは、この暗号化ツールを作成したのは自分たちではなく、その立ち上げについて調査中であるとツイートした。
Qilin’s Dark Web Ransomware Targets Critical Sectors 2023/05/15 InfoSecurity — Qilin ランサムウェア・グループの、オペレーションおよび Ransomware-as-a-Service (RaaS) プログラムに関する、新たな情報が明らかになった。Group-IB の Threat Intelligence Team は、最新の調査研究の一環として Qilin 内部に潜入した。そこから得られた分析の結果として、重要セクターをターゲットとしていることや、採用されている高度な技術に関する洞察が明らかになったと述べている。Qilin は Agenda とも呼ばれるランサムウェアであり、2022年8月に発見されてから、深刻な脅威として浮上しているとのことだ。
Emotet Botnet Started Distributing Quantum and BlackCat Ransomware 2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。
Hive Ransomware Upgrades to Rust for More Sophisticated Encryption Method 2022/07/06 TheHackerNews — Ransomware-as-a-Service (RaaS) Hive のオペレーターたちが、Hive の構成を全面的に見直し、記述言語を GoLang から Rust へと移行し、より洗練された暗号化方式を採用し始めた。火曜日のレポートで Microsoft Threat Intelligence Center (MSTIC) は、「Hive は、複数の大規模なアップグレードを伴う最新の亜種で、最も急速に進化するランサムウェア・ファミリーの1つであることも証明しており、絶えず変化するランサムウェアのエコシステムを実証している」と述べている。
Conti effectively created an extortion-oriented IT company, says Group-IB 2022/06/23 HelpNetSecurity — Group-IB の最新レポートによると、ランサムウェア・グループ Conti は、わずか1か月ほどで世界中の 40以上の企業を侵害し、最速の攻撃は3日で完了しているという。このレポートは、頻発するランサムウェア攻撃において、最も活発な組織 Conti の仕組みを詳述している。Conti は、この2年間で、企業/政府機関/国全体 (コスタリカ) を含む 850以上の被害者を生み出している。
Access Brokers and Ransomware-as-a-Service Gangs Tighten Relationships 2022/06/02 SecurityWeek — ここ数年、ダークウェブ・ウォッチャーたちは、サイバー犯罪集団の専門性の高まりに注目している。脅威アクターたちは、利益を最大化するための業務の効率化という目的のもとに、うまく組織化されている。アクセス・ブローカーと Ransomware-as-a-Service (RaaS) グループがより密接な関係になっていることは、明らかな進展である。
BlackCat Ransomware gang breached over 60 orgs worldwide 2022/04/22 SecurityAffairs — 米国連邦捜査局 (FBI) は、2021年11月に活動を開始した BlackCat ランサムウェア (別名:ALPHV/Noberus) により、少なくとも全世界で 60 の事業体が侵害されたとする Flash Report を公開した。同組織はアドバイザリで、世界中で少なくとも 60 の事業体に侵入した Ransomware-as-a-Service である、BlackCat/ALPHV などによる攻撃に関連する、主要な Indicators Of Compromise (IOCs) を Flash Report で発表した。ユーザーおよび管理者が、FBI Flash CU-000167-MW の IOC と技術的な詳細を確認し、推奨される緩和策を適用することを推奨していると 、CISA は述べている。
Why RaaS Has Become Easier to Launch 2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。
Windows Quick Assist abused in Black Basta ransomware attacks 2024/05/15 BleepingComputer — 金銭的な動機に基づくサイバー犯罪者たちが、ソーシャル・エンジニアリング攻撃で Windows Quick Assist 機能を悪用し、被害者のネットワーク上に Black Basta ランサムウェアのペイロードを展開している。Microsoft は、遅くとも 2024年4月中旬から、このキャンペーンを調査している。同社の観察によると、脅威グループ (Storm-1811) は、さまざまな電子メール配信サービスにアドレスを登録した後に、標的に対する大量の電子メール配信を行うことで攻撃を開始する。
Black Basta Ransomware Hit Over 500 Organizations 2924/05/13 SecurityWeek — Black Basta ランサムウェア・グループが、世界 500以上の組織を攻撃して、その中には北米/欧州/豪州などの重要なインフラ事業体が含まれると、米国政府が警告している。2022年4月に初めて確認された Black Basta は、RaaS (ransomware-as-a-service) を用いて活動している。彼らのビジネス・モデルは、自身のアフィリエイトたちに対して、標的へのサイバー攻撃とマルウェア展開を実行させ、支払われた身代金の一部を得るという仕組みである。
Ransomware payments drop to record low of 28% in Q1 2024 2024/04/21 BleepingComputer — サイバー・セキュリティ会社 Coveware の統計によると、ランサムウェアの支払いに対してユーザー企業が拒否する傾向が強まっており、2024年 Q1 の身代金支払の比率は、過去最低である 28% を記録した。2023年 Q1 の数字は 29%であり、Coveware 統計における支払いの減少は、2019年初頭から安定しているという。
Optics giant Hoya hit with $10 million ransomware demand 2024/04/11 BleepingComputer — 3月29日に、HOYA へのサイバー攻撃が発生した。 攻撃を行った Hunters International は、ファイル復号化装置と攻撃中に盗み出したファイルに対して、$10 million の身代金を要求しているという。HOYA は、光学機器/医療機器/電子部品に特化した日本企業であり、世界 30カ国以上に 160の事業所と子会社を持ち、世界各地に 43の研究所を保有している。
TeamCity Flaw Leads to Surge in Ransomware, Cryptomining, and RAT Attacks 2024/03/20 TheHackerNews — 先日に公開された JetBrains TeamCity の脆弱性を悪用する複数の脅威アクターが、ランサムウェア/暗号通貨マイナー/Cobalt Strike ビーコンや、Spark RATと呼ばれる Golang ベースの RAT などを展開している。この攻撃は、脆弱性 CVE-2024-27198 (CVSS:9.8) を悪用するものであり、敵対者は認証手段を回避し、影響を受けたサーバの管理者権限を取得する可能性を持つ。
LockBit Ransomware Group Resurfaces After Law Enforcement Takedown 2024/02/24 TheHackerNews — 先日に、国際的な法執行機関が LockBit のサーバーの制御を押収した。しかしその数日後に、LockBit ランサムウェアの背後にいる脅威アクターは、新しいインフラを使用してダークウェブに再浮上したことが明らかになった。悪名高い LockBit は、データ漏洩ポータルを TOR ネットワーク上の新しい .onion アドレスに移し、現時点において 12社の被害者を新たにリストアップしている。
Global Law Enforcement Disrupts LockBit Ransomware Gang 2024/02/21 DarkReading — FBI などの世界的な法執行機関は、凶悪なランサムウェア・グループである LockBit の活動を妨害し、そのプラットフォームを掌握し、世界的な RaaS (Ransomware-as-a-Service) 運営に関連するデータの押収に成功した。アフィリエイトたちの LockBit のコントロール・パネルに表示された、当局からのメッセージによると、Operation Cronos と呼ばれる作戦で押収されたものには、ソースコード/ランサムウェア被害者の詳細/盗まれたデータ/復号化キー/LockBit とアフィリエイトが要求した金額などの情報が含まれるという。
CISA Warning: Akira Ransomware Exploiting Cisco ASA/FTD Vulnerability 2024/02/16 TheHackerNews — 2024年2月15日 (木) に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco の Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTDI) の脆弱性 (パッチ適用済み) が、Akiraランサムウェア攻撃で悪用されている可能性が高いとの報告を受け、それらを Known Exploited Vulnerabilities (KEV) カタログに追加した。
Malware-as-a-Service Now the Top Threat to Organizations 2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。
Beware: Scam-as-a-Service Aiding Cybercriminals in Crypto Wallet-Draining Attacks 2023/12/30 TheHackerNews — 暗号通貨ウォレットを流出させるフィッシング攻撃の増加について、サイバー・セキュリティ研究者たちが警告している。Check Point の研究者である Oded Vanunu/Dikla Barda/Roman Zaikin は、「これらの脅威は、Ethereum から Binance Smart Chain/Polygon/Avalanche などにいたる 20種類の幅広い blockchain ネットワークを標的としており、暗号通貨のウォレットを抜き取る手口が特徴的だ」と述べている。
ALPHV Second Most Prominent Ransomware Strain Before Reported Downtime 2023/12/18 infoSecurity — ALPHV グループの Web サイトが先日に削除されたが、それ以前の 2022年1月〜10月において、このランサムウェア系統が、北米/欧州で2番目に多く活動していたことが、ZeroFox の調査により明らかになった。同社の分析によると、BlackCat の別名で知られる ALPHV は、21カ月の期間に北米で発生した、ランサムウェアおよびデジタル恐喝 (R&DE) 攻撃の約 11% を占めていたことが判明した。それは、LockBit グループに次ぐものである。
Mallox ransomware Exploits Old Flaws in MS-SQL & ODBC 2013/12/14 Penetration Testing — マルウェア・ファミリーや脅威アクター・グループが絶え間なく入れ替わるという、進化し続けるサイバー環境の中で、Mallox ランサムウェアは手強い敵として浮上している。SentinelOne のセキュリティ専門家たちは、Mallox の主なアクセス取得方法を解明し、最新のペイロードを包括的に分析することで、このグループの最新の活動に焦点を合わせている。2021年に初めて確認された、TargetCompany とも呼ばれてきた Mallox は、一貫してランサムウェア領域のダークホースとして、企業データの着実な漏えいを達成してきた。
ALPHV/BlackCat Site Downed After Suspected Police Action 2023/12/11 InfoSecurity — 現時点で、最も活発な RaaS グループのひとつが、オンライン上で混乱に見舞われているが、諜報専門家は警察の行動によるものだとしている。12月8日 (金) の Twitter で、サイバー脅威情報会社 RedSense は、ALPHV (別名BlackCat) に属するリークサイトが、法執行機関によりダウンさせられたことを、確認できたと述べている。しかし、RedSense の推定は、警察の動きに関する直接的な情報によるものではなく、サイバー犯罪コミュニティから収集した情報に基づいているようだ。
LockBit Remains Top Global Ransomware Threat 2023/12/06 InfoSecurity — LockBit ランサムウェアは、世界のすべての地域における大半の業界に対する、主要なデジタル恐喝の脅威であり続けていると、ZeroFox のレポートは主張している。2022年1月〜2023年9月の分析において研究者たちは、世界の R&DE (Ransomware and Digital Extortion) 攻撃の 25% 以上で、LockBit が利用されてきたことを、研究者たちは指摘している。そこには、同期間中に欧州で発生した全 R&DE 攻撃の30% および、北米で発生した 25% が含まれる。
LockBit ransomware exploits Citrix Bleed in attacks, 10K servers exposed 2023/11/14 BleepingComputer — Citrix Bleed と名付けられた脆弱性 CVE-2023-4966 の、PoC エクスプロイトを悪用する Lockbit ランサムウェアが、大規模な組織のシステムに侵入し、データを盗み、ファイルを暗号化している。この脆弱性 CVE-2023-4966 については、1カ月以上も前に Citrix が修正プログラムを公開しているが、インターネットに露出した何千ものエンドポイントにおいて、依然として脆弱なアプライアンスが運用されている。また、その多くは、米国内に存在している。
New Ransomware Group Emerges with Hive’s Source Code and Infrastructure 2023/11/13 TheHackerNews — Hunters International という新たなランサムウェアを操る脅威アクターが、すでに解体された Hive オペレーションからソースコードとインフラを入手して、独自の脅威活動を開始した。Bitdefender の Technical Solutions Director である Martin Zugec は、先週に発表したレポートの中で、「Hive の活動が停止した後に、そのリーダーは、残された資産を別のグループ Hunters International に譲渡するという、戦略的決定を下したようだ」と述べている。
LockBit ransomware leaks gigabytes of Boeing data 2023/11/12 BleepingComputer — 民間航空機や防衛システムにサービスを提供する、最大級の航空宇宙企業である Boeing から盗まれたデータを、LockBit ランサムウェアのギャングが公開した。これより以前に LockBit は、もし Boeing が無視すれば、一連のデータを公開すると警告し、最新ファイルの約4GBのサンプルを公開していた。
Japan Aviation Electronics Targeted in Ransomware Attack 2023/11/09 SecurityWeek — 日本航空電子工業は、Alphv/BlackCat ランサムウェア・グループが犯行声明を出したサイバー攻撃から回復しつつある。1953年に設立され、東京都渋谷区に本社を置く日本航空電子工業 (JAE : Japan Aviation Electronics) は、電気コネクタ/航空宇宙用電子機器/ユーザーインターフェース関連機器を製造している。JAE は Web サイト上の通知で、このインシデントは 11月2日に発生し、同社のサーバの一部が外部からの不正アクセスを受けたと述べた。
Boeing Investigates LockBit Ransomware Breach Claims 2023/10/30 InfoSecurity — 航空宇宙大手 Boeing から報告されたのは、同社の膨大な機密データを盗んだと主張する、ランサムウェア・グループに対する調査の途中経過である。現時点で多発している RaaS (ransomware-as-a-service) グループである、LockBit のリーク・サイトに新たなエントリーとして表示された Boeing は、対応を余儀なくされている。
ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers 2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Okta Agent Involved in MGM Resorts Breach, Attackers Claim 2023/09/16 DarkReading −−− 先週に発生した MGM Resorts と Caesars Entertainment へのサイバー攻撃だが、それを操る脅威アクターの主張は、組織の Active Directory に接続する軽量クライアントである Okta Agent をクラックし、何らかの方法で両社の Okta プラットフォームに侵入できたというものだ。Okta は、クラウド向けの IAM (Identity and Access Management) プロバイダーとして知られるサイバー・セキュリティ企業である。
Monti Ransomware gang launched a new Linux encryptor 2023/08/15 SecurityAffairs — Monti ランサムウェアのオペレーターが、2ヶ月の休みを経て、暗号化ソフトを刷新した Linux バージョンを携えて戻ってきた。この亜種は、政府や司法の組織を狙った攻撃で使用されている。 Monti グループは、Conti ランサムウェア・ギャングが活動を停止した直後の、2022年6月から活動を開始している。研究者たちは、この2つのギャングの TTP に、複数の類似点があることに気づいた。つまり、Monti のオペレータも、Conti から流出したソースコード・ベースにして暗号化を行っていたのだ。
Mallox Ransomware Exploits Weak MS-SQL Servers to Breach Networks 2023/07/20 TheHackerNews — 2023年における Mallox ランサムウェアの活動が、前年比で 174%増加していることが、Palo Alto Networks Unit 42 の新たな調査結果で明らかになった。セキュリティ研究者の Lior Rochberger と Shimi Cohen は、「Mallox ランサムウェアは、他の多くのランサムウェア脅威アクターと同様に、二重の恐喝のトレンドに従っている。その手口は、組織のファイルを暗号化する前にデータを盗み、その後に、被害者に身代金料金を支払わせるために、盗んだデータをリークサイトで公開するというものだ」と The Hacker Newsと共有したレポートの中で述べている。
Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group 2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank/ING Bank/Post Bank) や 25 の米国の学校などだ。
CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks 2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。
RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks 2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Ransomware Gangs Adopting Business-like Practices to Boost Profits 2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
BlackBerry Report Surfaces Increasing Rate of Cyberattacks 2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア/サービスを利用している組織に対して、2022年12月〜2023年2月には1分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。1位の米国に次いで、2位はブラジル、3位は日本、4位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。
RTM Locker Ransomware Targets Linux Architecture 2023/04/27 InfoSecurity — Linux システムを標的とする新たなランサムウェアのバイナリが発見されたが、RTM Ransomware-as-a-Service グループに起因するものであることが判明した。Uptycs のセキュリティ研究者たちが、4月26日 (水) に公開したアドバイザリでは、RTM グループが Linux バイナリを作成したのは初めてのことだという、調査結果が共有されている。同社は、「この Locker ランサムウェアは、Linux/NAS/ESXi ホストに感染するものであり、Babuk ランサムウェアから流出したソースコードに影響を受けているようだ」と説明している。
Researchers Discover First Ever Major Ransomware Targeting macOS 2023/04/19 DarkReading — 悪名高い LockBit ランサムウェア・グループが、macOS デバイス用のマルウェアを開発した。これは、主要なランサムウェア・グループが、Apple の領域に踏み込む初めてのケースになる。LockBit は、世界で最も多発する Ransomware-as-a-service (RaaS) オペレーターの1つであり、注目を集める攻撃/洗練された悪意のプログラム/グレードAの PR などで知られている。
Windows zero-day vulnerability exploited in ransomware attacks 2023/04/11 BleepingComputer — Microsoft がパッチを適用した、Windows Common Log File System (CLFS) のゼロデイ脆弱性は、特権昇格や Nokoyawa ランサムウェアのペイロード展開などで、サイバー犯罪者たちに積極的に悪用されているものである。この、Windows のゼロデイ脆弱性 CVE-2023-28252 の悪用が続いていることを踏まえ、CISA も KEV (Known Exploited Vulnerabilities) カタログに追加し、連邦政府民間行政機関 (FCEB) に対して、5月2日までにシステムを保護するよう命じた。
US Government Warns Organizations of LockBit 3.0 Ransomware Attacks 2023/03/17 SecurityWeek — 今週に、FBI/CISA/MS-ISAC は共同で、ランサムウェア LockBit 3.0 のオペレーションに関するアラートを発表した。LockBit は2020年1月以降において、Ransomware-as-a-Service (RaaS) モデルをベースに活動し、広範囲におよぶ企業や重要インフラ事業体をターゲットに、さまざまな TTP (Tactics, Techniques, and Procedures) を用いてきた。
Emotet, QSnatch Malware Dominate Malicious DNS Traffic 2023/03/15 DarkReading — インターネットの DNS (domain name system) は、脅威アクターたちにとって、一種のスーパー・ハイウェイとなっているようだ。この四半期において、6 組織に 1 組織の割合で、悪質なネットワーク・トラフィックを経験しているが、それらは、Emotet などのマルウェア/フィッシング攻撃/コマンド&コントロール (C2) アクティビティの、いずれかの形態であることが、研究者たちにより明らかになった。
Cyber-Threat Detections Surge 55% in 2022 2023/03/08 InfoSecurity — Trend Micro の発表は、2022年に 1460億件のサイバー脅威を阻止したというものだ。この件数は、前年比で 55% 増を示しており、あらゆる規模/分野の企業に対して、サイバー犯罪者がアプローチを拡大している証拠でもある。 同社が発表したのは、世界各地で発生した脅威情報から構成される、年次総括レポート Rethinking Tactics であり、そのスコープは、モバイル/IoT/PC エンドポイント/サーバ・エンドポイント/電子メール/ウェブ層/ネットワーク層/OT ネットワーク/クラウド/ホーム・ネットワーク/脆弱性/消費者/企業/政府などにまで広がっている。
Russian malware dev behind NLBrute hacking tool extradited to US 2023/02/23 BleepingComputer — パスワード・クラッキング・ツール NLBrute を開発/販売した罪に問われていたロシアのマルウェア開発者が、2022年10月4日にジョージア共和国で逮捕され、米国に身柄を引き渡された。この容疑者 Dariy Pankov は、dpxaker という名でも知られている。彼は現在、アクセス機器詐欺およびコンピュータ詐欺で起訴されており、全ての訴因で有罪判決を受けた場合には、最高で 47年間におよぶ連邦刑務所への収監の可能性があるという。
Russian Invasion Sparks Global Wiper Malware Surge 2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。
Microsoft: Over 100 threat actors deploy ransomware in attacks 2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black/BlackCat (別名 ALPHV) /Play/Vice Society/Black Basta/Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。
Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ 2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。
Spyware Vendor Variston Exploited N-Days in Chrome, Firefox, Windows 2022/12/01 InfoSecurity — スペインの カスタム・セキュリティ・ソリューション・プロバイダーとされる Variston IT は、自社の Heliconia フレームワークで Chrome/Firefox/Microsoft Defender の N-Day 脆弱性を悪用し、ターゲット・デバイスにペイロードを展開するためのツールを配布している。これは、Google Threat Analysis Group (TAG) が、11月30日のアドバイザリで明らかにしたものであり、Google/Microsoft/Mozilla は 2021年と 2022年初旬に、この脆弱性を修正しているという。
LockBit Remains Most Prolific Ransomware in Q3 2022/11/16 InfoSecurity — Trellix の最新レポートによると、2022年 Q3 に最も広まった LockBit ランサムウェアの亜種が、全体的な検出数の 5分の1以上 (22%) を占めたとのことだ。脅威インテリジェンス・ベンダーである Trellix は、センサーネット・ワークからのデータ/オープンソース・インテリジェンス/Trellix Advanced Research Center などから得たデータを調査/分析し、The Threat Report: Fall 2022 を編纂している。
IoT OT Security News 