The Digital Pandemic – Ransomware
2021/09/19 StateOfSecurity — サイバー・セキュリティの専門家や、ビジネス・リーダーにとって、この 2021年は、背筋が寒くなるよう年かもしれない。データ分析とトレーニングを行っている CybSafe の調査によると、2021年 Q1 に報告されたサイバー・インシデントのうち、22% がランサムウェアによる攻撃だった。Information Commissioners Office から入手した数字によると、2020年と比較して 11% の増加となっている。この増加は重要であり、より詳細に調査する必要がある。
Continue reading “ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!”Free REvil ransomware master decrypter released for past victims
2021/09/16 BleepingComputer — ランサムウェア REvil 用のマスター復号キーが無料で公開され、このギャングが姿を消す前に暗号化された、すべての被害者のデータが復元できるようになった。REvil マスター復号キーは、サイバーセキュリティ企業の Bitdefender が、信頼できる法執行機関と共同で作成したものだ。
Continue reading “REvil ランサムウェアのマスター復号キーには法執行機関が絡んでいる?”REvil ransomware is back in full attack mode and leaking data
2021/09/11 BleepingComputer — REvil ランサムウェア・グループがが完全に復活し、新たな被害者を攻撃し、盗んだファイルをデータ漏洩サイトで公開している。2019年以降、Sodinokibi こと REvil ランサムウェア・グループは、世界中の組織に対して攻撃を行い、盗んだファイルの流出を止める複合キーと引き換えに、$1 million の身代金を要求してきた。その活動期間において、JBS/Coop/Travele/GSMLaw/Kenneth Cole/Grupo Fleury などの、有名企業に対して数多くの攻撃を仕掛けてきた。
Continue reading “REvil ランサムウェア完全復活:フルパワーで攻撃を再開”Attackers Moving Faster Inside Target Networks
2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。
Continue reading “企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始”Hackers leak passwords for 500000 Fortinet VPN accounts
2021/09/08 BleepingComputer — 昨年の夏に悪用されたデバイスからスクレイピングされた、約50万件の Fortinet VPN のログイン名/パスワードのリストが、ある脅威行アクターにより流出させられた。そのときに悪用された Fortinet の脆弱性はパッチがリリースされているが、多くの VPN 認証情報は依然として有効だと、この脅威アクターは主張している。
Continue reading “Fortinet VPN アカウント 50万件が流出:脆弱性 CVE-2018-13379 に要注意”REvil ransomware servers mysteriously come back online
2021/09/07 BleepingComputer — ランサムウェア REvil の、ダークウェブ・サーバーが、約2ヶ月ぶりに突然復活した。これがランサムウェア・ギャングの復帰を意味するのか、それとも法執行機関がサーバーをオンにしたのかは不明だ。7月2日に、Sodinokibi こと REvil ランサムウェア・ギャングは、Kaseya VSA リモート管理ソフトウェアのゼロデイ脆弱性を悪用し、約60社のマネージド・サービス・プロバイダー (MSP) と、1,500社以上のビジネス顧客を暗号化した。
Continue reading “REvil ランサムウェアの謎:だれがオンラインに戻したのか?”Conti ransomware now hacking Exchange servers with ProxyShell exploits
2021/09/03 BleepingComputer — Conti ランサムウェアは、最近に公開された ProxyShell の脆弱性を悪用して、Microsoft Exchange サーバーに侵入し、企業ネットワークを侵害していくだろう。ProxyShell とは、Microsoft Exchange の脆弱性 (CVE-2021-34473 CVE-2021-34523 CVE-2021-31207) を連鎖させるエクスプロイトの名称であり、パッチが適用されていない脆弱のあるサーバーで、認証を回避したリモート・コード実行を許すことになる。
Continue reading “Conti ランサムウェアが Exchange ProxyShell 脆弱性を狡猾な手口で狙っている”Translated Conti ransomware playbook gives insight into attacks
2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。
Continue reading “Conti PlayBook 英訳版:ランサムウェアの手口が明らかに”LockBit gang leaks Bangkok Airways data, hits Accenture customers
2021/09/01 BleepingComputer — タイの大手航空会社である Bangkok Airways は、8月の初めにサイバー攻撃の被害に遭い、乗客の個人情報が流出したことを認めた。 この発表は、ランサムウェア LockBit が、身代金を支払わなければデータを公開すると脅迫するメッセージを、リーク・サイトに掲載したことを受けたものだ。
Continue reading “LockBit が Bangkok Airways を攻撃:Accenture からの連鎖か?”LockFile Ransomware Bypasses Protection Using Intermittent File Encryption
2021/08/28 TheHackerNews — 先月に出現した新しいランサムウェア・ファミリーは、間欠的暗号化 (intermittent encryption) と呼ばれる新しい技術を利用することで、ランサムウェア対策を回避する独自のトリックを備える。この LockFile と呼ばれるランサムウェアの作者は、ProxyShell や PetitPotam といった、最近の脆弱性を悪用して Windows サーバーを危険にさらしているが、ファイルの 16 Bytes ごとにスクランブルをかけることでランサムウェア防御を回避する、ファイル暗号化マルウェアを展開していることが判明した。
Continue reading “LockFile ランサムウェアは間欠的暗号化で防御ラインを突破する”Nokia subsidiary discloses data breach after Conti ransomware attack
2021/08/23 BleepingComputer — Nokia の米子会社である SAC Wireless は、Conti ランサムウェアによる攻撃を受け、ネットワークへの侵入と、データの窃取、システムを暗号化を許し、また、データが流出したことを公表した。米国イリノイ州シカゴに本社を置く Nokia 子会社である SAC Wireless は、米国内の通信事業者および、基地局、OEM 企業などと取引を行っている。SAC Wireless は、5G および、4G LTE、スモールセル、FirstNet などの、セルラー・ネットワークの設計/構築/アップグレードなどを顧客に提供する企業である。
Continue reading “Nokia の米子会社に Conti ランサムウェアが侵入した”CISA warns admins to urgently patch Exchange ProxyShell bugs
2021/08/23 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、初めての緊急と銘打った警告を発し、オンプレミスの Microsoft Exchange サーバーにパッチを適用し、ProxyShell の脆弱性が積極的に悪用されないようにと促している。同組織は、「悪意の脅威アクターが、ProxyShell の脆弱性である CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 を積極的に利用している。
Continue reading “CISA 警告:Microsoft Exchange の ProxyShell 脆弱性へのパッチを急げ”Security Vendors Sound the Alarm on LockBit Ransomware’s Return
2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。
Continue reading “LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす”Linux version of BlackMatter ransomware targets VMware ESXi servers
2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。
Continue reading “BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする”Angry Conti ransomware affiliate leaks gang’s attack playbook
2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20%~30% を受け取り、残りをアフィリエイトが受け取ることになる。
Continue reading “Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した”Why RaaS Has Become Easier to Launch
2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。
Continue reading “RaaS (Ransomware-as-a-Service) のエコシステムを解析する”UNC2465 cybercrime group launched a supply chain attack on CCTV vendor
2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織 である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。
Continue reading “監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?”New Ransomware Group Claiming Connection to REvil Gang Surfaces
2021/06/10 DarkReading — 今年の初めから、約30の組織に影響を与えたと主張する新しいランサムウェア・グループは、Ransomware-as-a-Service が犯罪組織の新たな活動を、いかに迅速に拡大するかを示す最新の事例である。Prometheus と呼ばれるグループが、今年の 2月に登場している。
Continue reading “新たなランサムウェア Prometheus は REvil と連携している?”Russian Hydra DarkNet Market Made Over $1.3 Billion in 2020
2021/05/25 TheHackerNews — ロシア語で運営されるダークウェブ・マーケットプレイスの Hydra が、不正行為のホットスポットとして浮上している。この犯罪グループは、2016年の $9.4 million から2020年の $1.37 billion へと暗号通貨による売上を積み上げ、2018年から2020年までの3年間で、624% という驚異的な伸びを示している。
Continue reading “ロシアのダークウェブ Hydra は 2020年に $1.3 Billion も稼ぎ出したという”DarkSide Ransomware Gang Extorted $90 Million from Several Victims in 9 Months
2021/05/19 TheHackerNews — 先日に発生した Colonial Pipeline ランサムウェア攻撃の背後にいる DarkSide は、この9ヶ月の間にランサムウェアを乱発し、$90 million のビットコイン支払いを受け、最も収益性の高いサイバー犯罪グループとなった。ブロックチェーンを分析する Elliptic は、「合計で $90 million 強のビットコイン身代金が、 47 のウォレットから DarkSide 支払われた」と述べている。
Continue reading “ランサムウェア・ギャング DarkSide は 9ヶ月で $90 Million を稼ぎ出している”DarkSide Ransomware Hits Toshiba Tec Group
2021/05/14 SecurityWeek — Colonial Pipeline を操業停止へと追い込んだ、ランサムウェア DarkSide の脅威が拡大している。昨日は、ドイツの化学製品流通大手の Brenntag が、DarkSide のオペレーターに $4.4 million の身代金を支払ったことが報じられていた。
Continue reading “東芝の欧州子会社が DarkSide ランサムウェアに攻撃される”Irish healthcare shuts down IT systems after Conti ransomware attack
2021/05/14 BleepingComputer — アイルランドの公的ヘルスケア機関である Health Service Executive (HSE) が、ランサムウェア攻撃によりネットワークが侵害され、すべての IT システムを停止した。HSE の Chief Executive である Paul Reid は NewstalkFM に対して、「Conti のオペレーターが操作するランサムウェア攻撃であり、データへのアクセスを目的としている」と述べている。
Continue reading “アイルランドのヘルスケア機関が Conti ランサムウェアに攻撃された”
IoT OT Security News 