Ransomware – Page 5 – IoT OT Security News

JetBrains TeamCity の RCE 脆弱性 CVE-2023-42793：ランサムウェアによる攻撃を確認

Ransomware gangs now exploiting critical TeamCity RCE flaw

2023/10/02 BleepingComputer — JetBrains の TeamCity の CI/CD (continuous integration and continuous deployment) サーバに存在する深刻な脆弱性を、ランサムウェア・ギャングたちが標的にしはじめた。この脆弱性 CVE-2023-42793 (CVSS : 9.8) は、ユーザーとの対話を必要としない複雑度の低い攻撃を可能にする。したがって、認証バイパスに成功した未認証の攻撃者により、リモートからのコードを実行 (RCE) が引き起こされる。この脆弱性を発見／報告したのは、スイスのセキュリティ企業 Sonar である。そして、9月21日に JetBrains が、TeamCity 2023.05.4 をリリースし、この深刻な脆弱性に対処した１週間後に、Sonar による技術的な詳細が発表された。

Ransomed.vc ランサムウェア：NTT Docomo を次の標的としているらしい

Ransomed.vc Group Hits NTT Docomo After Sony Breach Claims

2023/09/27 InfoSecurity — 昨日に報道された、SONY におけるデータ流出に続く動きとして、ランサムウェア・シンジケート Ransomed.vc は、日本最大の通信会社である NTT docomo を標的としている。火曜日に Resecurity が発表したアドバイザリによると、Ransomed.vc は NTT docomo に対して$1m 以上の身代金を要求しているという。同様の身代金の要求を SONY が拒否し、データの流出につながったとされるが、それに続く動きである。

ShadowSyndicate というハッカー集団：複数のランサムウェアと C2 サーバを巧みに運用

ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers

2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの１年間で ShadowSyndicate は、７種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum／Nokoyawa／BlackCat/ALPHV／Clop／Royal／Cactus／Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。

RansomedVC ランサムウェアの主張：Sony のシステムから盗んだデータを販売する

Sony Investigating After Hackers Offer to Sell Stolen Data

2023/09/26 SecurityWeek — あるサイバー犯罪グループが、Sony のシステムに侵入して盗んだデータを、販売すると主張しいていることを受け、同社による調査が開始されたという。SONY の担当者は、「現在状況を調査中であり、現時点では、これ以上のコメントはない」と、SecurityWeek に述べている。この調査が開始されたのは、RansomedVC という新たなランサムウェア・グループが、Tor ベースの自身の Web サイトに被害者として Sony を掲載し、その全システムを侵害したと主張した後のことである。

Openfire の脆弱性 CVE-2023-32315：野放し状態での悪用が観測されている

Hackers actively exploiting Openfire flaw to encrypt servers

2023/09/26 BleepingComputer — Openfireメッセージング・サーバの深刻な脆弱性を積極的に悪用するハッカーたちが、ランサムウェアによる暗号化と、クリプトマイナー侵害を展開している。Openfire は、Java ベースのオープンソース・チャット (XMPP) サーバであり、すでに 900 万回もダウンロードされ、安全なマルチプラットフォーム・チャット通信のために広く使用されているものだ。脆弱性 CVE-2023-32315 の悪用により、Openfire の管理コンソールで、認証バイパスが引き起こされる。その結果として、未認証の攻撃者による、脆弱なサーバー上での新たな管理者アカウント作成にいたる可能性が生じる。

日本の Clarion がランサムウェアに遭遇：ALPHV が犯行を表明し恐喝している

ALPHV Group Claims The Hack Of Clarion, A Global Manufacturer Of Audio And Video Equipment For Cars

2023/09/24 SecurityAffairs — ALPHV ランサムウェア・グループの Tor 被害者リストに、車載用オーディオ・ビデオ機器の世界的メーカーである、日本の Clarion が追加された。Clarion Japan は、車載用音響／映像機器の世界的メーカーである、Clarion 株式会社の日本法人である。カーナビ／オーディオ／ビデオ・システムに加えて、バック・カメラなどの幅広い製品を開発／製造／販売している。また、Clarion Japan は、自動車のメンテナンス／修理等に関するソフトウェアのアップデートといった、様々なサービスも提供している。

Akira ランサムウェア：多様な戦術を用いて Linux システムを狙い始めている

Akira Ransomware Mutates to Target Linux Systems, Adds TTPs

2012/09/23 DarkReading — 2023年３月に登場した Akira ランサムウェアは、それ以降において進化を続けている。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics／Techniques／Procedures) を採用するようになっている。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されている。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものだ。

MFA に対する本質的な問題提起：Okta が護れなかった MGM Resorts インシデントとは？

Okta Agent Involved in MGM Resorts Breach, Attackers Claim

2023/09/16 DarkReading −−− 先週に発生した MGM Resorts と Caesars Entertainment へのサイバー攻撃だが、それを操る脅威アクターの主張は、組織の Active Directory に接続する軽量クライアントである Okta Agent をクラックし、何らかの方法で両社の Okta プラットフォームに侵入できたというものだ。Okta は、クラウド向けの IAM (Identity and Access Management) プロバイダーとして知られるサイバー・セキュリティ企業である。

BlackCat ランサムウェア：Sphynx 暗号化ツールで Azure Storage を攻撃

BlackCat ransomware hits Azure Storage with Sphynx encryptor

2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP：One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。

3AM という新たなランサムウェア：LockBit の代替えとして攻撃を成功させる

When LockBit Ransomware Fails, Attackers Deploy Brand-New ‘3AM’

2023/09/14 DarkReading — ある建設業に対する最近の攻撃では、標的とするネットワーク上で LockBit の実行に失敗したハッカーが、未知のランサムウェアを二番手として展開することに成功したという。この新しいツールの機能として挙げられるのは、ホスト・コンピューター上のファイルをロックする前に、各種のサイバー・セキュリティやバックアップ関連のソフトウェアをブロックするという、どちらかというと標準的なものだ。

Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269：ブルートフォース攻撃？

Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks

2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、８月以降において Akira ランサムウェア攻撃で悪用されているものだ。この脆弱性 CVE-2023-20269 (CVSS：5.0) は、Cisco ASA／FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。

ランサムウェア調査：データ侵害の先には何があるのだろう？ ESG／Keepit レポート

Ransomware attacks go beyond just data

2023/09/04 HelpNetSecurity — 2023 Ransomware Preparedness というレポートが、Enterprise Strategy Group (ESG) と Keepit により公表された。それによると、65% のユーザー組織が、自社の存続を脅かす Top-3 の１つとしてランサムウェアを捉え、13% の組織は最大の脅威だと捉えているようだ。

Microsoft SQL がターゲット：FreeWorld ランサムウェアを展開する脅威アクターたち

Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware

2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア／RAT ペイロード／クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。

LockBit 3.0 Builder のリークと影響：312種類もの亜種が量産されている

LockBit 3.0 Ransomware Builder Leak Gives Rise to Hundreds of New Variants

2023/08/26 TheHackerNews — 昨年に発生した、LockBit 3.0 ランサムウェア・ビルダーの流出により、このツールを悪用する脅威アクターたちが、新たな亜種を生み出している。ロシアのサイバー・セキュリティ企業である Kaspersky は、LockBit の亜種を展開するランサムウェアの侵入を検出したが、身代金要求の手順が著しく異なっていたと述べている。Kaspersky のセキュリティ研究者である Eduardo Ovalle と Francesco Figurelli は、「このインシデントを操る攻撃者は、NATIONAL HAZARD AGENCY と呼ばれる、新たなグループに関連する見出しを持つ、新たな身代金メモを使用している」と述べている。

ランサムウェア攻撃の統計値：各セキュリティ企業のレポートを比較してみた

Cybersecurity Companies Report Surge in Ransomware Attacks

2023/08/23 SecurityWeek — いくつかのサイバー・セキュリティ企業が、この数週間において、それぞれのランサムウェア・レポートを発表しているが、その大半において攻撃の大幅な増加が示されている。ランサムウェア攻撃は、サイバー犯罪グループに大きな利益をもたらし続けているが、サイバー・セキュリティ企業の最新したレポートによると、その量と巧妙さの両方が増加しているという。そこで SecurityWeek では、一連のレポートを分析し、最も重視すべき傾向を要約してみた。

MOVEit 脆弱性への Clop 攻撃が止まらない：NCC Group の脅威レポート

Continued MOVEit Exploitation Drives Record Ransomware Attacks

2023/08/22 InfoSecurity — Clop ギャングによる MOVEit 脆弱性の継続的な悪用により、2023年7月のランサムウェア攻撃件数が記録的なレベルに達したと、NCC Group の脅威インテリジェンス・チームは述べている。研究者たちは、７月だけで 502件という、最大規模のランサムウェア攻撃を観測した。この数値は、2022年7月との比較で154% 増であり、2023年6月との比較で 16% 増となっている。

Akira ランサムウェア：Cisco VPN 製品を標的として組織に侵入している

Akira ransomware targets Cisco VPNs to breach organizations

2023/08/22 BleepingComputer — Akira ランサムウェアが、Cisco VPN 製品を攻撃ベクターとして企業ネットワークに侵入し、データ窃取を行った後に暗号化するという証拠が増えている。Akira ランサムウェアは、2023年3月以降に検出された新しいランサムウェアであり、その後に、VMware ESXi 仮想マシンを標的とする Linux 暗号化ツールも開発している。

SEIKO がハッキングされた：犯行を主張する BlackCat がサンプル・データを公開

Japanese watchmaker Seiko breached by BlackCat ransomware gang

2023/08/21 BleepingComputer — BlackCat／ALPHV ランサムウェア・ギャングの恐喝サイトに、SEIKO の名前が加わり、今月の初めに同社が公表した、サイバー攻撃への対応を要求している。SEIKO は世界最大級の規模を誇る歴史のある時計メーカーであり、従業員数は約 12,000人／年間売上高は $1.6 billion を超える。2023年8月10日に同社は、データ漏洩の通知を発表し、無許可の第三者が IT インフラの一部に不正アクセスし、流出させたことを認めた。

急増するランサムウェア攻撃：2023年上半期には 1,500件の被害が確認された – Rapid7

Ransomware Surges With 1500 Confirmed Victims This Year

2023/08/17 InfoSecurity — Rapid7 の 2023 Mid-Year Threat Review によると、2023年の上半期においては、全世界で少なくとも 1500の組織がランサムウェア攻撃の被害に遭っている。これらの攻撃の大半は、主要なランサムウェア・ギャングである、LockBit (35.3％)／ALPHV/BlackCat (14.2％)／Cl0p (11.9％) により実施されている。Rapid7 の Vulnerability Research Manager である Caitlin Condon は、「2023年上半期のデータを集計した時点では、MOVEit Transfer ハッキングにおける新たな被害者を集計している最中であり、Cl0p によるインシデント数は、調査結果よりも多い可能性がある」と InfoSecurity に語っている。

Monti ランサムウェアの最新 Linux encryptor：Conti からの継承を削減している

Monti Ransomware gang launched a new Linux encryptor

2023/08/15 SecurityAffairs — Monti ランサムウェアのオペレーターが、２ヶ月の休みを経て、暗号化ソフトを刷新した Linux バージョンを携えて戻ってきた。この亜種は、政府や司法の組織を狙った攻撃で使用されている。 Monti グループは、Conti ランサムウェア・ギャングが活動を停止した直後の、2022年6月から活動を開始している。研究者たちは、この２つのギャングの TTP に、複数の類似点があることに気づいた。つまり、Monti のオペレータも、Conti から流出したソースコード・ベースにして暗号化を行っていたのだ。

Abyss Locker ランサムウェア Linux 版：VMware ESXi サーバを狙っている

Linux version of Abyss Locker ransomware targets VMware ESXi servers

2023/07/29 BleepingComputer — Abyss Locker オペレーションは、Linux 暗号化ツールの開発における最新の事例であり、企業に対する攻撃において VMware の ESXi 仮想マシン・プラットフォームを標的にしている。リソース管理／パフォーマンス／ディザスタ・リカバリなどの向上を目的に、企業が個々のサーバーから仮想マシンへと移行するにつれて、ランサムウェア・ギャングたちは、このプラットフォームを標的とした暗号化ツールを開発するようになっている。

政府系サービス企業 Maximus に MOVEit ハッキング：最大 1100万人の個人情報を侵害

Up to 11 Million People Hit by MOVEit Hack at Government Services Firm Maximus

2023/07/27 SecurityWeek — 今週に、政府系サービス・プロバイダーの Maximus が発表したのは、2023年の前半において MOVEit サイバー攻撃を受け、最大で 1100万人分の個人情報が盗み出されたという被害の内容である。この、2023年5月末に公表された攻撃は、MOVEit Transfer の MFT (Managed File Transfer) ソフトウェアのゼロデイ脆弱性を悪用するもので、このソフトを介して、脅威アクターは転送されたデータを窃取していた。

Nitrogen というキャンペーン：Google／Bing の広告を介してマルウェアを展開

New Nitrogen malware pushed via Google Ads for ransomware attacks

2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat／ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk／Cisco AnyConnect VPN／TreeSize Free／WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。

2023 Q1／Q2 比較でランサムウェア攻撃が 74％の急増 – SonicWall

Ransomware Attacks Skyrocket in Q2 2023

2023/07/26 InfoSecurity — 2023 Q2 と Q1 の比較において、ランサムウェア攻撃が 74％も急増したことが、最新のレポートで明らかになった。2023 SonicWall Mid-Year Cyber Threat Report では、2023年に入ってからのランサムウェア攻撃件数について、２つの非常に不均衡な現象が観測された。SonicWall Capture Labs の研究者たちは、2023 Q1 に 5,120万件の攻撃を観測しているが、これは 2019 Q4 以降で最小の件数だった。しかし、Q2 にはランサムウェアが復活し、8,890万件の攻撃が確認され、Q1 から 74％の急増となった。

2023年6月のランサムウェア攻撃件数：活発な Clop などにより過去最高を記録

Clop Drives Record Ransomware Activity in June

2023/07/21 InfoSecurity — NCC Group の Global Threat Intelligence Team の分析によると、6月のランサムウェア攻撃は前年同月比 221%増の 434件となり、過去最高を記録したことが判明した。この増加の要因として挙げられるのは、MOVEit の脆弱性を悪用する Clop によるグローバル組織への攻撃、および、Lockbit 3.0 などのグループによる一貫したハイレベルの活動、そして、５月以降に登場した新たなグループだと、同社は主張している。

Mallox ランサムウェアが 174％増：脆弱な MS-SQL サーバを介してネットワークに侵入

Mallox Ransomware Exploits Weak MS-SQL Servers to Breach Networks

2023/07/20 TheHackerNews — 2023年における Mallox ランサムウェアの活動が、前年比で 174％増加していることが、Palo Alto Networks Unit 42 の新たな調査結果で明らかになった。セキュリティ研究者の Lior Rochberger と Shimi Cohen は、「Mallox ランサムウェアは、他の多くのランサムウェア脅威アクターと同様に、二重の恐喝のトレンドに従っている。その手口は、組織のファイルを暗号化する前にデータを盗み、その後に、被害者に身代金料金を支払わせるために、盗んだデータをリークサイトで公開するというものだ」と The Hacker Newsと共有したレポートの中で述べている。

Sophos の名を語る SophosEncrypt という RaaS：ID Ransomware に被害者からの投稿

Cybersecurity firm Sophos impersonated by new SophosEncrypt ransomware

2023/07/18 BleepingComputer — サイバー・セキュリティ・ベンダーの Sophos が、新しい RaaS (ransomware-as-a-service) になりすまされているが、この脅威アクターは同社の名前を取り込んだ、SophosEncrypt という名前で活動している。この、昨日に MalwareHunterTeam により発見されたランサムウェアは、当初は Sophos 自身のレッドチームによる演習の一環と考えられていた。しかし、Sophos X-Ops チームは、この暗号化ツールを作成したのは自分たちではなく、その立ち上げについて調査中であるとツイートした。

MOVEit ハッキング：340 の組織と 1800万人を超える個人が侵害された – Emsisoft

MOVEit Hack: Number of Impacted Organizations Exceeds 340

2023/07/17 SecurityWeek — Clop グループが仕掛ける MOVEit 攻撃により、影響を受けた組織の数は 340 に達し、1800万人を超える被害者を生み出したと報じられている。サイバー・セキュリティ企業 Emsisoft の脅威アナリストであり、このキャンペーンを監視している Brett Callow は、現時点において米国内の 58 の教育機関を含む、347 の組織が影響を受けていると述べた。この中には、先週に学生と従業員のデータが盗まれた可能性のある、コロラド州立大学も含まれている。

金融サービスにおけるランサムウェア被害額：2018〜2022 の５年間で $32 bn

Ransomware Costs Financial Services $32bn in Five Years

2023/07/14 InfoSecurity — 世界の金融サービス組織は、2018年以降におけるランサムウェアの侵入により、$32bn 相当以上のダウンタイムを生じていると、最新のレポートが主張している。Comparitech は、これまでの５年間における、金融業界で確認された 225件の攻撃を分析し、平均的な組織で起こったインシデントにより、２週間のダウンタイムが生じていることを明らかにした。

2023年の恐喝型ランサムウェアは大成功：暗号通貨犯罪の被害額は 62% ダウン

Crypto Crime Down 62% but Ransomware Activity Surges

2023/07/12 InfoSecurity — Chainalysisによると、2023年上半期の既知の犯罪組織への暗号通貨の流入は、2022年の同時期と比較して 65％減少したが、ランサムウェアは最大級の１年になる勢いだという。同社は 2023年上半期のブロックチェーン活動を分析し、Crypto Crime Midyear Update をまとめた。それによると、暗号ミキサーやリスクの高い取引所のような、危険なエンティティでの取引量も、前年同期比で 42％減と大幅に減少した。しかし、合法的なサービスにとの取引量も 28％減少した。

MOVEit の脆弱性 CVE-2023-34362：Clop ランサムウェア攻撃が 257社に達した

Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group

2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank／ING Bank／Post Bank) や 25 の米国の学校などだ。

MOVEit Transfer の３つの深刻な脆弱性が FIX：各バージョンごとに確認すべきアップデートとは？

MOVEit Transfer customers warned to patch new critical flaw

2023/07/07 BleepingComputer — Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む３つの脆弱性が修正された。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものだ。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となる。

RedEnergy という Stealer-as-a-Ransomware：ブラジルとフィリピンのインフラを攻撃している

RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors

2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共／電力／石油／ガス／テレコム／機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。

75% の消費者は覚悟を決めている：ランサムウェアに攻撃されたベンダーからは逃げ出すぞ！

75% of consumers prepared to ditch brands hit by ransomware

2023/07/05 HelpNetSecurity — 消費者の 40% は、ベンダーが提供するデータ保護能力に懐疑的であり、75% はランサムウェア攻撃を受けた場合に別の企業に移行するという、Object First の調査結果が公表された。さらに、消費者はベンダーに対してデータ保護の強化を求めている。信頼性の高いバックアップ／リカバリ／パスワード保護／ID アクセス管理戦略などの、包括的なデータ保護対策を持つ企業を、消費者の 55% が支持しているという。組織がデジタル・トランスフォーメーションへの取り組みを強化するにつれて、データ量は飛躍的に拡大する一方で、ランサムウェア攻撃がサイバー脅威の主流となっている。

名古屋港に最大規模のランサムウェア攻撃：操業停止に追い込まれる

Japan’s largest port stops operations after ransomware attack

2023/07/05 BleepingComputer — 日本最大の港湾である名古屋港がランサムウェア攻撃の標的となり、現在コンテナ・ターミナルの運営に影響が出ている。日本の総貿易量のおよそ 10％を占めている名古屋港は、21の埠頭と 290のバースを運営しており、毎年 200万個以上のコンテナと 1億6500万トンの貨物を取り扱っている。また、世界最大の自動車メーカーのひとつであるトヨタ自動車は、この港を利用して大半の自動車を輸出している。

TSMC への LockBit 攻撃：身代金として $70 million が要求されているが・・・

TSMC denies LockBit hack as ransomware gang demands $70 million

2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェアが $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン／高性能コンピューティング／IoT デバイス／自動車／デジタル家電などの、さまざまなデバイスで使用されている。

Akira ランサムウェアの Linux 版が登場：VMware ESXi サーバが標的に

Linux version of Akira ransomware targets VMware ESXi servers

2023/06/28 BleepingComputer — Akira ランサムウェアは、Linux 暗号化ツールを使用して VMware ESXi 仮想マシンを暗号化することで、世界中の企業に対して二重の恐喝攻撃を仕掛けている。このランサムウェアは、2023年3月に登場して以来、教育／金融／不動産／製造／コンサルティングなどの、さまざまな業界の Windows システムを標的としてきた。Akira を操る脅威アクターは、企業を標的とした他のランサムウェア・ギャングと同様に、侵害したネットワークからデータを盗み、ファイルを暗号化して、被害者に二重の恐喝を行い、数百万ドルもの支払いを要求する。

MOVEit 攻撃の新たな被害者：Schneider Electric と Siemens Energy が攻撃された

Schneider Electric and Siemens Energy are two more victims of a MOVEit attack

2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者５社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の２社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。

MOVEit ゼロデイ侵害の被害が拡大：保険／年金などの契約者 3.2M 人分のデータが流出？

MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed

2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この１週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。

Azure／Outlook／OneDrive への執拗な DDoS 攻撃：Anonymous Sudan の犯行だと Microsoft が判定

Microsoft confirms Azure, Outlook outages caused by DDoS attacks

2023/06/18 BleepingComputer — Microsoft が発表したのは、先日に Azure／Outlook／OneDrive の Web ポータルで発生した障害が、同社サービスの Layer 7 に対する DDoS 攻撃であったというものだ。この攻撃は、Microsoft が Storm-1359 として追跡している脅威アクター (別名 Anonymous Sudan) に起因するものだと見られている。この障害は 2023年6月初旬に発生し、Outlook.com (7日)／OneDrive (8日)／Microsoft Azure (9日) という順序で、それぞれの Web ポータルが標的となった。

Killnet の主張：REvil／Anonymous Sudan と連携して欧米の金融組織を攻撃する

Killnet Threatens Imminent SWIFT, World Banking Attacks

2023/06/17 DarkReading — Killnet と呼ばれる親ロシア派のハッカー集団が、ランサムウェア・ギャング REvil の復活に関与していると主張している。その目的はというと、欧米の金融システムに対する攻撃である。しかし、これまで Killnet が行ってきた DDoS 攻撃の実績からすると、単なる威勢のいい脅しに過ぎないのかどうかは不明である。6月16日にロシアの Telegram チャンネルに投稿されたビデオで Killnet は、SWIFT 銀行システム (2018年に Lazarus の標的となった)／Wise 国際電信送金システム／SEPA欧州内決済サービス／欧州米国の中央銀行などの機関に対して、攻撃を仕掛けるという脅しをかけている。

MOVEit とデータ窃取攻撃：Clop ランサムウェア・ギャングが被害者への恐喝を開始

Clop ransomware gang starts extorting MOVEit data-theft victims

2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。

LockBit の被害総額が $91M に達した：CISA／FBI／MS-ISAC などが共同勧告

CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks

2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国／英国／オーストラリア／カナダ／ドイツ／フランス／ニュージーランドなどの、それぞれの当局が述べている。

サイバー恐喝攻撃は蔓延の傾向：欧米から東南アジアへと移行する攻撃対象

Cyber extortion hits all-time high

2023/06/12 HelpNetSecurity — Orange Cyberdefense によると、近年におけるサイバー恐喝攻撃は蔓延の傾向を示しており、あらゆる規模や業種の組織にとって、大きな脅威になっているという。同社の調査で確認された。合計 6,707件の企業被害者のデータを分析したところ、国や業種により被害者数に変動があり、新たな地域にも攻撃が広がっていることが判明した。2022年にはサイバー恐喝被害者数は 8% の減少というデータが示されているが、この減少は短期間に限定されたものであり、最新データである 2023年 Q1 の状況は、これまでで最大のボリュームとなっている。

日本の製薬会社エーザイにランサムウェア攻撃：サーバの一部が暗号化された

Pharmaceutical Giant Eisai Hit By Ransomware Incident

2023/06/08 InfoSecurity — 日本の製薬会社であるエーザイは、6月3日 (土) に発生したランサムウェアの被害に遭い、同グループにおける一部サーバが暗号化されたことを発表した。このサイバー攻撃の結果として、物流システムを含む複数のシステムが、一時的にオフラインになった。なお、エーザイの Web サイトやメールシステムは稼働しており、現時点ではデータ流出の可能性を調査中とのことだ。

Linux の新型ランサムウェア BlackSuit：Royal ランサムウェアとの類似性が判明

New Linux Ransomware BlackSuit is similar to Royal ransomware

2023/06/02 SecurityAffairs — 2022年に注目を集めたランサムウェア・ファミリー Royal は、2023年5月初旬にテキサス州ダラスの IT システムに対する攻撃を行っている。人手によるオペレーションを特徴とする Royal ランサムウェアは、2022年9月に初めて脅威環境に登場し、最大で数百万ドルの身代金を要求してきた。Royal ランサムウェアは C++ で書かれており、Windows システムに感染し、データ復旧を防ぐために全てのボリュームシャドウコピーを削除する。このランサムウェアは、ローカルネットワーク上のネットワーク共有とローカルドライブを、AES アルゴリズムで暗号化していくとされる。

ランサムウェアとアクセス・ブローカー：地下でつながり利益を上げるグループたち – WithSecure

Ransomware Gangs Adopting Business-like Practices to Boost Profits

2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。

Buhti というランサムウェア：LockBit／Babuk のコードを流用する新たな脅威

New Buhti ransomware gang uses leaked Windows, Linux encryptors

2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit／Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows／Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。

バックアップの重要性について再考：ランサムウェアから身を守るために – Veeam

Backup Repositories Targeted in 93% of Ransomware Attacks

2023/05/24 InfoSecurity — Veeam の 2023 Ransomware Trends Report によると、依然としてランサムウェアの脅威は生き続けており、これまでの 12ヶ月間において、85% の組織が少なくとも１回は、そのような攻撃を受けたことがあるとしている。このレポートは、「このような傾向が続けば、ランサムウェア攻撃による損失が、利益を上回るという組織が多くなる」と警告している。

ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃：BlackBasta が犯行を主張

Arms maker Rheinmetall confirms BlackBasta ransomware attack

2023/05/23 BleepingComputer — ドイツの自動車／兵器メーカーである Rheinmetall AG が公表したのは、BlackBasta ランサムウェア攻撃を受け、民需ビジネスに影響が及んだことだ。 Rheinmetall は、自動車／軍用車／兵器／防空システム／エンジン／各種鉄鋼製品などを製造するドイツのメーカーであり、従業員数は 25,000人以上、$7 billion 以上の年間売上高を有している。