ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理

A Trip to the Dark Site — Leak Sites Analyzed

2022/01/20 TheHackerNews — ランサムウェアのオペレータが、侵入直後にファイルを暗号化し、被害者に復号化キーの代金を請求するという時代は終わった。現在、一般的に見られるのは、暗号化の脅威に加えて、盗んだデータの流出という脅威を伴うものであり、Double-Extortion (Cyber Extortion : Cy-X) と呼ばれている。それは、被害者を貶めるリークサイトを介して、サイバー犯罪の一部を観察/分析を可能にするという点で、価値を見いだせるものとなる。

Continue reading “ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理”

奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている

‘Anomalous’ spyware stealing credentials in industrial firms

2022/01/20 BleepingComputer — 研究者たちにより、産業界をターゲットにした、いくつかのスパイウェア・キャンペーンが発見された。電子メールアカウントの認証情報が盗みだされたが、その目的は、金融詐欺や認証情報の転売だと考えられる。攻撃者は、既製のスパイウェア・ツールを使用しているが、検出を逃れるために、それぞれの亜種を、きわめて限られた時間において展開している。攻撃に使用される汎用マルウェアの例としては、AgentTesla/Origin Logger/HawkEye/Noon/Formbook/Masslogger/Snake Keylogger/Azorult/Lokibot などがある。

Continue reading “奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている”

FlexBooker から 370万人分以上のユーザー・アカウント情報が盗まれた

Over 3.7 million accounts were compromised in the FlexBooker data breach

2022/01/07 SecurityAffairs — FlexBooker が脅威アクターにより攻撃され、370万人以上のユーザー・アカウントが侵害された。この攻撃はクリスマス休暇前に行われ、盗まれたデータは複数のサイバー犯罪フォーラムで販売されている。FlexBooker は、オンラインのアポイントメント・スケジューリング・プラットフォームであり、予約のスケジュール化や、従業員のカレンダー同期などを提供している。

Continue reading “FlexBooker から 370万人分以上のユーザー・アカウント情報が盗まれた”

サイバー犯罪フォーラム Joker’s Stash が閉鎖:金融データの闇市場が大きく変化している

After Joker’s Stash shutdown, the market for stolen financial data looks a lot different

2021/12/20 CyberScoop — サイバー犯罪フォーラム Joker’s Stash が閉鎖されたことで、ダークウェブ上で取引される盗難ペイメントカード情報の市場全体に、持続性のある打撃が与えていると、研究者たちは指摘している。サイバー・セキュリティ企業である Group-IB によると、2020年半ばから2021年半ばにかけて、カーディング市場の規模は前年比で $1.9 billion から $1.4 billion に減少した。

Continue reading “サイバー犯罪フォーラム Joker’s Stash が閉鎖:金融データの闇市場が大きく変化している”

Microsoft 報告:中国ハッカーが使用する 42 の悪意の Web ドメインが押収された

Microsoft Seizes 42 Malicious Web Domains Used By Chinese Hackers

2021/12/07 TheHackerNews — 米国バージニア州の連邦裁判所が発行した令状に基づき、米国などの28カ国の組織を標的とする、中国のサイバー・スパイ集団が使用していた42個のドメインを押収されたと、Microsoft が発表した。同社は、この悪質なスパイ行為について、Nickel と呼ばれるグループおよび、APT15/Bronze Palace/Ke3Chang/Mirage/Playful Dragon/Vixen Panda と呼ばれているグループの仕業だとしている。この APT アクターは、2012年ごろから活動していると考えられている。

Continue reading “Microsoft 報告:中国ハッカーが使用する 42 の悪意の Web ドメインが押収された”

Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ

Google disrupts massive Glupteba botnet, sues Russian operators

2021/12/07 BleepingComputer — 現在、世界中の 100万台以上の Windows PC を支配し、毎日のように数千台の感染デバイスを増やしている Grupteba ボットネットを崩壊させる対策を、Google は講じていることを発表した。Glupteba は、ブロックチェーンに対応したモジュール型のマルウェアであり、2011年以降に米国/インド/ブラジル/東南アジア諸国を含む、世界中の Windows デバイスを標的にしている。

Continue reading “Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ”

TP-Link Wi-Fi 6 にゼロデイ脆弱性:ダークウェブでエクスプロイトが販売されている?

Exclusive: Resecurity discovered 0-day vulnerability in TP-Link Wi-Fi 6 devices

2021/11/26 SecurityAffairs — 米国ロサンゼルスに拠点を置くサイバーセキュリティ企業 Resecurity は、主に企業向けに販売されている TP-Link TL-XVR1800L (Enterprise AX1800 Dual Band Gigabit Wi-Fi 6 Wireless VPN Router) に存在するゼロデイ脆弱性を発見した。この脆弱性を悪用されると、リモートコード実行 (RCE) が可能となり、デバイスを乗っ取った後に、悪意の目的での使用や、機密データの窃取などを許すことにもなる。また、この脆弱性は、同一シリーズの他のデバイスにも存在する可能性がある。

Continue reading “TP-Link Wi-Fi 6 にゼロデイ脆弱性:ダークウェブでエクスプロイトが販売されている?”

ロシアと中国のコラボ:Dark Web でハッカーたちは何を相談する?

Russian ransomware gangs start collaborating with Chinese hackers

2021/11/17 BleepingComputer — ロシア語圏のサイバー犯罪フォーラムにおいて、中国のハッカーたちに協力を求めているような、新たな動きが散見される。中国の脅威アクターを参加させようとする試みは、主に RAMP ハッキング・フォーラムで見られる。このフォーラムでは、中国語を話す人物の会話への参加や、ヒントの共有。共同での攻撃などが奨励されている。

Continue reading “ロシアと中国のコラボ:Dark Web でハッカーたちは何を相談する?”

Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?

Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities

2021/11/16 DailySwig — 脅威情報企業の Digital Shadows によると、サイバー犯罪者たちは、ゼロデイ脆弱性を販売するだけではなく、Exploit-as-a-Service モデルの可能性を検討し始めているようだ。このモデルは、ゼロデイ脆弱性を他のサイバー犯罪者に貸し出し、サイバー攻撃の実行を可能にするものであり、マルウェア開発者たちが採用している、Ransomware-as-a-Service のアフィリエイト・モデルに似たものとなる。

Continue reading “Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?”

レッドチームが必要な理由:PoC エクスプロイトが重要な理由

Red Teams and the Value of Open Source PoC Exploits

2021/11/10 SecurityBoulevard — レッド・チームとは、優れたサイバー・セキュリティを構成するうえで必要な要素である。(ISC)2 Security Congressで講演した、セキュリティ研究者の Richard Tychansky は、レッド・チームは攻撃的なセキュリティであると説明している。レッド・チームのプロセスにおいては、いくつかの段階的なステップを踏む必要があると、彼は言う。

Continue reading “レッドチームが必要な理由:PoC エクスプロイトが重要な理由”

ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた

APT focus: ‘Noisy’ Russian hacking crews are among the world’s most sophisticated

2021/09/22 DailySwig — 国家に支援されるロシアのサイバースパイ集団は、国々への脅威の中で最も洗練された存在であり、その上、最も狡猾な敵となるような欺瞞の才能を備えている。The Daily Swig が取材した専門家によると、ロシアのサイバー脅威アクターは、中国と肩を並べる世界最高レベルの存在であり、また、西側の情報機関および、連邦保安局 (FSB : Federal Security Service)、そして米軍と関係を持つ機関などに、比肩する能力を持っているようだ。

Continue reading “ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた”

IBM レポート:クラウド・セキュリティの課題を調べてみた

IBM Report Shows Severity of Cloud Security Challenges

2021/09/15 SecurityBoulevard — 今日、IBM Security Services は、ダークウェブ・マーケットプレイスで隠れて販売されている約 30,000 のクラウド・アカウントを含む、一連のクラウド・セキュリティの問題を詳述するレポートを発表した。このレポートは、ダークウェブの分析および、IBM Security X-Force Red ペンテストのデータ、IBM セキュリティ・サービス指標、X-Force Incident Response の分析、X-Force Threat Intelligence などの調査に基づくものである。

Continue reading “IBM レポート:クラウド・セキュリティの課題を調べてみた”

国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?

Experts confirmed that the networks of the United Nations were hacked earlier this year

2021/09/10 SecurityAffairs — この木曜日に国連 (United Nations) は、今年初めに同組織のコンピュータ・ネットワークが、サイバー攻撃を受けたことを確認した。UN Secretary-General のスポークスマンである Stéphane Dujarric は Bloomberg に対して、「未知の攻撃者が 2021年4月に、国連のインフラの一部に侵入したことを認めた。国連は、持続的なキャンペーンを含め、頻繁にサイバー攻撃の標的となっている。また、この侵害に関連した、さらなる攻撃も検知され、対応していることを確認している」と述べている。

Continue reading “国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?”

Fortinet VPN アカウント 50万件が流出:脆弱性 CVE-2018-13379 に要注意

Hackers leak passwords for 500000 Fortinet VPN accounts

2021/09/08 BleepingComputer — 昨年の夏に悪用されたデバイスからスクレイピングされた、約50万件の Fortinet VPN のログイン名/パスワードのリストが、ある脅威行アクターにより流出させられた。そのときに悪用された Fortinet の脆弱性はパッチがリリースされているが、多くの VPN 認証情報は依然として有効だと、この脅威アクターは主張している。

Continue reading “Fortinet VPN アカウント 50万件が流出:脆弱性 CVE-2018-13379 に要注意”

REvil ランサムウェアの謎:だれがオンラインに戻したのか?

REvil ransomware servers mysteriously come back online

2021/09/07 BleepingComputer — ランサムウェア REvil の、ダークウェブ・サーバーが、約2ヶ月ぶりに突然復活した。これがランサムウェア・ギャングの復帰を意味するのか、それとも法執行機関がサーバーをオンにしたのかは不明だ。7月2日に、Sodinokibi こと REvil ランサムウェア・ギャングは、Kaseya VSA リモート管理ソフトウェアのゼロデイ脆弱性を悪用し、約60社のマネージド・サービス・プロバイダー (MSP) と、1,500社以上のビジネス顧客を暗号化した。

Continue reading “REvil ランサムウェアの謎:だれがオンラインに戻したのか?”

デジタル・ウォレットの人気が高まれば犯罪もついてくる

Threats Grow as Digital Wallets Gain Popularity

2021/09/01 SecurityBoulevard — 今回のパンデミックと、ユーザーの個人的な好みが重なり合い、デジタル決済アプリやデジタル・ウォレットが急速に台頭し、その勢いはクレジット・カードや現金と競い合うまでに至っている。セキュリティ分析ソフトウェアのスペシャリストである Cognyte のレポートによると、Google Pay / Samsung Pay / Apple Pay などのデジタル・ウォレットの人気が高まるにつれて、脅威アクターたちの大きなターゲットになったようだ。

Continue reading “デジタル・ウォレットの人気が高まれば犯罪もついてくる”

3億ドルを Bitcoin Mixer でマネロンした罪で懲役 20年

Bitcoin mixer owner pleads guilty to laundering over $300 million

2021/08/18 BleepingComputer — Larry Dean Harmon は、Helix というダークウェブにおける暗号通貨ロンダリング・サービスのオーナーでり、2014年から2017年の間に $300 million 以上の Bitcoin ロンダリングした。司法省は、「Helix が AlphaBay / Evolution / Cloud 9 などを含む、複数のダークネット・マーケットと提携し、顧客の Bitcoin のマネーロンダリング・サービスを提供していたことを、Larry Dean Harmon が認めた。

Continue reading “3億ドルを Bitcoin Mixer でマネロンした罪で懲役 20年”

ウクライナ保安局がマネーロンダリング暗号通貨取引所を停止

Ukraine shuts down money laundering cryptocurrency exchanges

2021/08/12 BleepingComputer — ウクライナ保安局 (SBU : Security Service of Ukraine) は、2021年初頭から取引の匿名化に使われていた、暗号通貨取引所のネットワークを停止した。1,000人以上の顧客が、この秘密の取引所を利用して、Yandex.Money / Qiwi / Webmoney などの、ロシアの電子決済処理業者から受け取った資金をロンダリングしていた。

Continue reading “ウクライナ保安局がマネーロンダリング暗号通貨取引所を停止”

Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した

Angry Conti ransomware affiliate leaks gang’s attack playbook

2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20%~30% を受け取り、残りをアフィリエイトが受け取ることになる。

Continue reading “Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した”

RaaS (Ransomware-as-a-Service) のエコシステムを解析する

Why RaaS Has Become Easier to Launch

2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。

Continue reading “RaaS (Ransomware-as-a-Service) のエコシステムを解析する”

DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した

BlackMatter ransomware group claims to be Darkside and REvil succesor

2021/07/28 SecurityAffairs — 今週に活動を開始した BlackMatter は、新しいランサムウェア・ギャングであり、また、Darkside と REvil グループの後継者であると主張している。BlackMatter は、他のランサムウェアと同様に、システムを暗号化する前に被害者から搾取したデータを、公開するリークサイトを開設している。BlackMatter ランサムウェアを最初に発見したのは、Recorded Future の研究者であり、Exploit や XSS といたサイバー犯罪フォーラムに掲載された広告を利用して、このグループがアフィリエイト・ネットワークを構築していると報告している。

Continue reading “DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した”

Magecart ハッカーたちは盗んだクレカ情報をイメージファイルに隠し持つ

Magecart Hackers Hide Stolen Credit Card Data Into Images for Evasive Exfiltration

2021/07/09 TheHackerNews — Magecart グループに属するサイバー犯罪者たちは、コメント・ブロック内に難読化されたマルウェアコードを仕込み、盗み出したクレジットカード情報をサーバー上の画像などのファイルにエンコードするという、新しい手口を使い始めている。それにより示されるのは、攻撃者が検知を逃れるために、感染経路を継続的に消し去っているという実態だ。

Continue reading “Magecart ハッカーたちは盗んだクレカ情報をイメージファイルに隠し持つ”

100万ドルの手付金でゼロデイ・エクスプロイトを買い付けるハッカーとは?

Hacker deposited $1M in a popular cybercrime marketplace to buy zero-day exploits

2021/07/08 SecurityAffairs — 脅威インテリジェンス企業である Cyble の研究者たちによると、integra という名前でオンライン活動を行っている脅威アクターが、他のフォーラム・メンバーからゼロデイ・エクスプロイトを購入する目的で、あるサイバー犯罪フォーラムに 26.99 Bitcoin を入金していたことが判明した。専門家によると、2012年9月に integra は、サイバー犯罪フォーラムにメンバーとして参加しており、時間の経過とともに高い評価を得ているようだ。

Continue reading “100万ドルの手付金でゼロデイ・エクスプロイトを買い付けるハッカーとは?”

ロシアン・ハッカーに対する具体的なアクションを求める米政府

US warns of action against ransomware gangs if Russia refuses

2021/07/06 BleepingComputer — ホワイトハウスの Press Secretary である Jen Psak は、ロシア政府が拒否した場合、米国はロシアのサイバー犯罪者グループに対して行動を起こすと述べている。Psak は、フロリダ州の IT 企業 Kaseya に対する REvil ランサムウェア攻撃は、誰の仕業だと判明したわけではなく、特にロシア政府との関連性が判明したわけでもない、と付け加えている。

Continue reading “ロシアン・ハッカーに対する具体的なアクションを求める米政府”

米ケミカル Brenntag が DarkSide ランサムウェアに盗まれた情報とは?

US chemical distributor shares info on DarkSide ransomware data theft

2021/07/03 BleepingComputer — 世界有数の化学製品流通企業である Brenntag は、2021年4月下旬に同社の北米部門が狙われた攻撃の際に、DarkSide ランサムウェアにより盗み出されたデータの内容について、追加の情報を公開した。ICIS が発表した世界の化学製品通業 Top-100 レポートによると、Brenntag は北米の売上高で第2位となっている。

Continue reading “米ケミカル Brenntag が DarkSide ランサムウェアに盗まれた情報とは?”

Trickbot ボットネットと Diavol ランサムウェアの関係性は?

Trickbot cybercrime group linked to new Diavol ransomware

2021/07/01 BleepingComputer — FortiGuard Labs のセキュリティ研究者は、Diavol という名の新しいランサムウェアの系統を、Trickbot ボットネットを開発した Wizard Spider という、サイバー犯罪グループに結びつけた。Diavol と Conti ランサムウェア・ペイロードは、2021年6月初旬に Fortinet の EDR ソリューションがブロックしたランサムウェア攻撃において、異なるシステム上に展開されていた。

Continue reading “Trickbot ボットネットと Diavol ランサムウェアの関係性は?”

Babuk Locker のランサムウェア・ビルダーが他の攻撃で使用されている

Leaked Babuk Locker ransomware builder used in new attacks

2021/06/30 BleepingComputer — Babuk Locker 運用者がカスタム・ランサムウェアの実行ファイルを作成するために使用したツールが、世界をターゲットにした極めて活発なキャンペーンにおいて、他の脅威アクターに使用されるまで広まっている。Babuk Locker は 2021年の初めに登場したランサムウェアであり、企業をターゲットにした Double-Extortion 攻撃を行っている。

Continue reading “Babuk Locker のランサムウェア・ビルダーが他の攻撃で使用されている”

DoubleVPN の Server/Log/ Account が国際的な法執行機関に差し押さえたれた

DoubleVPN servers, logs, and account info seized by law enforcement

2021/06/29 BleepingComputer — 国際的な法執行機関が、二重暗号化サービスである DoubleVPN の、サーバー/データ/顧客ログを押収した。Double VPN は、脅威アクターが悪意の活動を行う際に、検知を逃れるために頻繁に利用するサービスである。DoubleVPN は、ロシアを拠点とする VPN サービスであり、このサービスを通じて送信されるデータを二重/三重/四重に暗号化する。

Continue reading “DoubleVPN の Server/Log/ Account が国際的な法執行機関に差し押さえたれた”

LockBit ランサムウェアがアフェリエイトを募集しているそうだ

Ransomware gangs now creating websites to recruit affiliates

2021/06/28 BleepingComputer — ロシア語圏の2つの著名なサイバー犯罪フォーラムが、ランサムウェア関連のトピックを禁止して以来、犯罪組織は代替手段でサービスを宣伝することを余儀なくされている。攻撃を実行するためのハッカーを必要としている、少なくとも2つのランサムウェア・ギャングは、自分たちのサイトで暗号化ツールの機能を宣伝し、新入社員を集めている。

Continue reading “LockBit ランサムウェアがアフェリエイトを募集しているそうだ”

中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した

The return of TA402 Molerats APT after a short pause

2021/06/18 SecurityAffairs — TA402 APT グループ (別名:MoleratsGaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。

Continue reading “中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した”

ウクライナ警察がランサムウェア Cl0p の活動を破壊した

Ukraine Police Disrupt Cl0p Ransomware Operation

2021/06/17 DarkReading — ウクライナの警察当局が、ランサムウェア ClOp のメンバー6名を逮捕した。最近の ClOp は、Stanford University Medical School への攻撃や、エンタープライズ・ファイアウォール Accellion への不正侵入に関与していた。今回の逮捕は、韓国/米国/インターポールが連携した国際的な作戦によるものだと、この水曜日にウクライナの Cyberpolice は発表している。

Continue reading “ウクライナ警察がランサムウェア Cl0p の活動を破壊した”

監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織 である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

Continue reading “監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?”

Paradise Ransomware の全ソースコードがハッキング・フォーラムで共有されている

Paradise Ransomware source code released on a hacking forum

2021/06/15 BleepingComputer — Paradise Ransomware の全ソースコードがハッキング・フォーラムで公開されたことで、サイバー犯罪者による独自のランサムウェア開発環境が整っていく。ハッキング・フォーラム XSS 上で公開されたソースコードへのリンクは、このサイトの投稿に返信または反応したことのある、アクティブ・ユーザーのみがアクセスできる。

Continue reading “Paradise Ransomware の全ソースコードがハッキング・フォーラムで共有されている”

Avaddon ランサムウェアが活動を停止し復号キーを配布

Avaddon ransomware gang shuts down their operations and releases decryption keys

2021/06/11 SecurityAffairs — ランサムウェア Avaddon の被害者にとって朗報だ。このサイバー犯罪グループが、その活動を停止し、解読キーを BleepingComputer に提供した。このグループは、サーバーを停止し、ハッキング・フォーラムのプロフィールを削除し、リーク・サイトも閉鎖している。

Continue reading “Avaddon ランサムウェアが活動を停止し復号キーを配布”

米 DoJ が潰した最大の地下マーケット Slilpp とは?

U.S. Authorities Shut Down Slilpp—Largest Marketplace for Stolen Logins

2021/06/10 TheHackerNews — 今日、米 Department of Justice (DoJ) 、は国際的な法執行活動の一環として、盗まれたログイン認証情報を取引する地下マーケット・プレイス Slilpp の、インフラを破壊/停止したと発表した。この違法マーケットに関連して、10数名が逮捕/起訴されている。

Continue reading “米 DoJ が潰した最大の地下マーケット Slilpp とは?”

FBI が運用するフェイク暗号チャットにより 800人以上の犯罪者が逮捕される

Feds Secretly Ran a Fake Encrypted Chat App and Busted Over 800 Criminals

2021/06/08 TheHackerNews — U.S. Federal Bureau of Investigation (FBI) と Australian Federal Police (AFP) は、ANoMと呼ばれる暗号化されたチャット・サービスを、前例のないおとり捜査として約3年間にわたって運用し、世界中の犯罪組織のメンバー間で交わされた 2,700万通のメッセージを傍受した。

Continue reading “FBI が運用するフェイク暗号チャットにより 800人以上の犯罪者が逮捕される”

Evil Corp の新種ランサムウェアは米当局の制裁をかわすために PayloadBin と名乗る

New Evil Corp ransomware mimics PayloadBin gang to evade US sanctions

2021/06/06 BleepingComputer — 新種のランサムウェアである PayloadBIN だが、US Treasury Department’s Office of Foreign Assets Control (OFAC) の制裁を逃れるためにブランド名を変更した、サイバー犯罪組織 Evil Corp が作成したものだとされる。

Continue reading “Evil Corp の新種ランサムウェアは米当局の制裁をかわすために PayloadBin と名乗る”

GitHub:エクスプロイト情報の掲載ポリシーを変更

GitHub Updates Policy to Remove Exploit Code When Used in Active Attacks

2021/06/05 TheHackerNews — 6月4日のこと、コード・ホスティングのプラットフォームである GitHub は、同社のサービスにアップロードされたマルウェアやエクスプロイト・コードなどの取り扱いに関する、一連のポリシー・アップデートを正式に発表した。

Continue reading “GitHub:エクスプロイト情報の掲載ポリシーを変更”

なぜ米国はロシア由来のランサムウェア攻撃者に弱いのか

Why US is so powerless against suspected Russian ransomware hackers

2021/06/05 SCMP — 恐れを知らない海外からのキーボード犯罪者たちは、米国の学校や病院を麻痺させ、機密性の高い警察のファイルを流出させ、燃料不足を引き起こし、最近では世界の食品サプライチェーンを脅かしている。ランサムウェアの被害が拡大していることから、ある疑問が浮かぶ。世界最高のサイバー能力を有すると考えられる米国が、ロシアなどで平然と活動している犯罪者から、なに故に国民を守ることができないのか?

Continue reading “なぜ米国はロシア由来のランサムウェア攻撃者に弱いのか”

SolarWinds ハッカーたちのドメインが当局に差し押さえられた

Spear-phishing campaign linked to SolarWinds attackers halted following domain seizure

2021/06/03 DailySwig — Agency for International Development (USAID) のアドレスを装ったスピア・フィッシング・メールに関連する、2つのコマンド&コントロール・ハブを、米国当局が差し押さえた。この米国司法省による取締りは、昨年の悪名高い SolarWinds のハッキングで非難された、サイバースパイ集団である Nobelium Group の悪質な活動に対する、Microsoft の警告を受けてのものとなる。

Continue reading “SolarWinds ハッカーたちのドメインが当局に差し押さえられた”

米 USAID に成りすますフィッシング攻撃サイトが差し押さえられた

US seizes domains used by APT29 in recent USAID phishing attacks

2021/06/01 BleepingComputer — 米国司法省は、U.S. Agency for International Development (USAID) を装った最近のフィッシング攻撃で、マルウェア配布および内部ネットワークへのアクセスに使用された、2つのインターネット・ドメインを押収した。

Continue reading “米 USAID に成りすますフィッシング攻撃サイトが差し押さえられた”

ロシアのダークウェブ Hydra は 2020年に $1.3 Billion も稼ぎ出したという

Russian Hydra DarkNet Market Made Over $1.3 Billion in 2020

2021/05/25 TheHackerNews — ロシア語で運営されるダークウェブ・マーケットプレイスの Hydra が、不正行為のホットスポットとして浮上している。この犯罪グループは、2016年の $9.4 million から2020年の $1.37 billion へと暗号通貨による売上を積み上げ、2018年から2020年までの3年間で、624% という驚異的な伸びを示している。

Continue reading “ロシアのダークウェブ Hydra は 2020年に $1.3 Billion も稼ぎ出したという”

ドミノピザ・インドから盗み出された顧客データが販売されている

Domino’s India discloses data breach after hackers sell data online

2021/05/25 BleepingComputer — ドミノピザ・インドは、脅威アクターが同社のシステムをハッキングし、盗んだデータをハッキング・フォーラムで販売したことを受け、データ侵害があったことを公表した。

Continue reading “ドミノピザ・インドから盗み出された顧客データが販売されている”

インドネシア政府がソーシャル・セキュリティ・データの流出を認めた

Indonesia ‘s government confirms social security data breach for some citizens

2021/05/21 SecurityAffairs — インドネシアの Communication and Information Ministry は、ソーシャル・セキュリティ・データの流出を認めたが、その影響はごく一部の人々に限られると説明し、この事件を軽視しようとしている。

Continue reading “インドネシア政府がソーシャル・セキュリティ・データの流出を認めた”

サイバー犯罪者たちは API キーを悪用して盗みを働こうとしているのか?

Report: how cybercriminals abuse API keys to steal millions

2021/05/21 SecurityAffairs — この数年において、暗号通貨市場が爆発的に拡大し、トレーダーによる取引プロセスを効率化するためのアプリやサービスが提供され始めている。こうしたサービスを利用するトレーダーは、暗号通貨取引所のパーソナル・アカウントへのアクセスを、API キーを介してサードパーティ・プログラムに許可する。その結果、取引所にログインしなくても、売買の注文や実行を、自動的に行うことが可能になる。

Continue reading “サイバー犯罪者たちは API キーを悪用して盗みを働こうとしているのか?”

Cobalt Strike はハッカー御用達のツールになってしまったのか?

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

2021/05/19 DarkReading — RSA CONFERENCE 2021 – オープンソース・ハッキング・プラットフォームである Metasploit は、ネットワーク・テストに必要なツールであると同時に、サイバー犯罪者たちによる悪用に不安を抱く人々から、20年近くにわたり熱狂と不満の声を集めてきた。いまもなお、Metasploit は善良なハッカーと悪質なハッカーから人気を得ているが、レッドチームのツールである Cobalt Strike も、攻撃において重要な役割を果たすようになってきた。

Continue reading “Cobalt Strike はハッカー御用達のツールになってしまったのか?”

闇で取引されるエクスプロイト情報の 47% が Microsoft 製品を標的にしている

47% of Criminals Buying Exploits Target Microsoft Products

2021/05/17 DarkReading — RSA CONFERENCE 2021 – 闇のエクスプロイト・マーケットについて1年間に渡って調査を行った研究者によると、サイバー犯罪者たちがアンダーグラウンド・フォーラムにリクエストする、CVE の47% を Microsoft 製品が占めている。

Continue reading “闇で取引されるエクスプロイト情報の 47% が Microsoft 製品を標的にしている”

ダークウェブでは偽の Covid-19 ワクチンなどが溢れかえっている

Dark Web Getting Loaded With Bogus Covid-19 Vaccines and Forged Cards

2021/05/13 TheHackerNews — COVID-19 に関連して、偽造された検査結果や、不正なワクチン接種カード、疑わしいワクチンなどが、ダークウェブ上で注目を集めており、コロナウイルスの大流行を利用する最新のサイバー犯罪となっている。

Continue reading “ダークウェブでは偽の Covid-19 ワクチンなどが溢れかえっている”

Emotet が悪用する 400万件のメールアドレスが Have I Been Pwned で共有される

FBI shares 4 million email addresses used by Emotet with Have I Been Pwned

2021/04/27 BleepingComputer — 米国連邦捜査局 FBI は、マルウェアに感染したコンピュータを浄化する活動の一環として、ボットネット Emotet がマルウェア配布のために収集した、数百万件の電子メールアドレスを、Have I Been Pwned で共有している。個人ユーザーやドメイン所有者は、電子メールアドレスをデータベースで検索することで、自身のアカウントへの Emotet の影響を知ることができる。

Continue reading “Emotet が悪用する 400万件のメールアドレスが Have I Been Pwned で共有される”