Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access
2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている。
Continue reading “Skitnet という多段型インフォ・スティーラーに注意:ステルス性を備え Black Basta ランサムウェアなどを配信”Ransomware gang creates tool to automate VPN brute-force attacks
2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。
Continue reading “Black Basta が開発した BRUTED Framework:ブルートフォース攻撃の最適化と自動化”Ransomware Groups Abuse Microsoft Services for Initial Access
2025/01/21 SecurityWeek — Sophos が警告するのは、2つの脅威グループが Microsoft 365 サービスを侵害し、Microsoft Teams デフォルト・コンフィグレーションを悪用することで、組織内のユーザーとの会話に到達したという問題である。Microsoft 365 テナントを運用する2つのハッキング・グループは、この3ヶ月間に少なくとも 15件の攻撃を仕掛け、ユーザー組織を侵害してランサムウェアを展開し、データ窃取を施行していたという可能性が生じている。
Continue reading “Microsoft Teams を介したソーシャル・エンジニアリング:STAC5143 と STAC5777 の戦術を解析”ZLoader Malware Returns With DNS Tunneling to Stealthily Mask C2 Comms
2024/12/11 TheHackerNews — ZLoader マルウェアの新バージョンが、Zscaler ThreatLabz の研究者たちにより発見された。2024年1月に再登場した ZLoader だが、その後もツールを改良し続け、C2 (command-and-control) 通信に DNS トンネルを使用する方向へと進化している。
Continue reading “ZLoader マルウェアの改良版:DNS トンネリング機能/インタラクティブなシェルを搭載”Black Basta Ransomware Uses MS Teams, Email Bombing to Spread Malware
2024/12/10 HackRead — ランサムウェア・グループ Black Basta (別名 UNC4393) が仕掛ける、ソーシャル・エンジニアリング・キャンペーンに関する詳細レポートが、Rapid7 から公開された。このレポートが焦点を合わせるキャンペーンは、2024年5月に初めて報告され、2024年8月にペイロードが更新されたものであり、現在も進行中だという。
Continue reading “Black Basta の戦術:MS Teams の悪用とメール爆撃でマルウェアを拡散”Telecom Giant BT Group Hit by Black Basta Ransomware
2024/12/05 HackRead — 英国の大手通信企業である British Telecom (BT) Group への、Black Basta によるランサムウェア攻撃が発生した。BT の Conferencing セクションを標的とした、この攻撃により、同社はサーバのシャットダウンとデータ盗難に見舞われた。
Continue reading “英 BT Group でデータ侵害が発生:Black Basta ランサムウェア・グループが犯行を主張”CISA Adds Vmware Esxi Bug To Its Known Exploited Vulnerabilities Catalog
2024/07/30 SecurityAffairs — 米国の CISA は、VMware ESXi に存在する認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で、7月29日に Microsoft が公表したのは、先日にパッチ適用された VMware ESXi の脆弱性 CVE-2024-37085 を、複数のランサムウェア・グループが悪用しているという警告である。
Continue reading “CISA KEV 警告 24/07/30:VMware ESXi の脆弱性 CVE-2024-37085 を登録”Microsoft: Ransomware gangs exploit VMware ESXi auth bypass in attacks
2024/07/29 BleepingComputer — VMware ESXi の認証バイパスの脆弱性を悪用するランサムウェア集団が、積極的な攻撃を展開していると、Microsoft が警告している。この Medium レベルの脆弱性 CVE-2024-37085 は、Microsoft のセキュリティ研究者である Edan Zwick/Danielle Kuznets Nohi/Meitar Pinto により発見され、6月25日にリリースされた ESXi 8.0 U3 で修正されている。このバグを悪用する攻撃者は、ESX Admins グループを作成し、新規ユーザーの追加を可能にするものであり、それらのユーザーに対しては、ESXi ハイパーバイザー上の完全な管理者権限が自動的に割り当てられるという。
Continue reading “VMware ESXi への認証バイパスの攻撃:複数のランサムウェアが悪用 – Microsoft”Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw
2024/06/12 TheHackerNews — 先日に公開された Microsoft Windows Error Reporting Service の権限昇格の脆弱性を、Black Basta 由来と思われるランサム・アクターが、ゼロデイとして悪用した可能性があることが、Symantec の最新レポートにより判明した。Windows Error Reporting Service に存在する、権限昇格の脆弱性 CVE-2024-26169 (CVSS:7.8) の悪用に成功した攻撃者は、SYSTEM 権限を得ることが可能になる。なお、この脆弱性に対して Microsoft は、2024年3月の時点でパッチを適用している。
Continue reading “Windows Error Reporting Service の脆弱性 CVE-2024-26169:Black Basta が悪用?”Windows Quick Assist abused in Black Basta ransomware attacks
2024/05/15 BleepingComputer — 金銭的な動機に基づくサイバー犯罪者たちが、ソーシャル・エンジニアリング攻撃で Windows Quick Assist 機能を悪用し、被害者のネットワーク上に Black Basta ランサムウェアのペイロードを展開している。Microsoft は、遅くとも 2024年4月中旬から、このキャンペーンを調査している。同社の観察によると、脅威グループ (Storm-1811) は、さまざまな電子メール配信サービスにアドレスを登録した後に、標的に対する大量の電子メール配信を行うことで攻撃を開始する。
Continue reading “Black Basta の戦術:ソーシャル・エンジニアリングで Windows Quick Assist を侵害”Black Basta Ransomware Hit Over 500 Organizations
2924/05/13 SecurityWeek — Black Basta ランサムウェア・グループが、世界 500以上の組織を攻撃して、その中には北米/欧州/豪州などの重要なインフラ事業体が含まれると、米国政府が警告している。2022年4月に初めて確認された Black Basta は、RaaS (ransomware-as-a-service) を用いて活動している。彼らのビジネス・モデルは、自身のアフィリエイトたちに対して、標的へのサイバー攻撃とマルウェア展開を実行させ、支払われた身代金の一部を得るという仕組みである。
Continue reading “CISA/FBI/HHS/MS-ISAC の共同警告:Black Basta が 500以上の組織を攻撃している”Ransomware Rising Despite Takedowns, Says Corvus Report
2024/04/30 InfoSecurity — Corvus Insurance の最新レポートによると、2024年 Q1 に LockBit とALPHV/BlackCat が残した空白を、新たなランサムウェア・ギャングたちが、すでに埋めているようだ。4月30日に発表された “Ransomware Groups Don’t Die, They Multiply” で Corvus は、2024年 Q1 のランサムウェアの活動量は、前年同期と比較して 21% 増だったことを明らかにした。
Continue reading “ランサムウェア 2024 Q1 レポート:サイバー保険会社の視点で分析 – Corvus”Ransomware payments drop to record low of 28% in Q1 2024
2024/04/21 BleepingComputer — サイバー・セキュリティ会社 Coveware の統計によると、ランサムウェアの支払いに対してユーザー企業が拒否する傾向が強まっており、2024年 Q1 の身代金支払の比率は、過去最低である 28% を記録した。2023年 Q1 の数字は 29%であり、Coveware 統計における支払いの減少は、2019年初頭から安定しているという。
Continue reading “ランサムウェア 2024 Q1 調査:身代金の規模は高額から中程度に移行か? – Coveware”FBI: US Ransomware Losses Surge 74% to $59.6 Million in 2023
2024/03/07 InfoSecurity — FBI の Internet Crime Report 2023 によると、2023年の米国におけるランサムウェアの被害額は $59.6 m に急増し、前年の $34.4 m から 74% 増加した。この数字は、昨年に FBI に対して報告された、2825件のランサムウェア・インシデントに算出されたものであり、2022年との比較で 18% 増加している。
Continue reading “FBI 調査 2023:米国のランサムウェア被害額は $59.6 M 前年比 74% 増”2023/05/12 SecurityAffairs — 2021年に流出した Babuk ランサムウェアのソースコードをベースにして、VMware ESXi ロッカーを使用する 10件のランサムウェア・ファミリーを、SentinelLabs の研究者たちが特定した。研究者たちが指摘するのは、これらのランサムウェア・ファミリーが、2022年下半期〜2023年上半期に確認されている点である。つまり、Babuk ランサムウェアのソースコードを使用する、脅威アクターが増加していると推測されるという。それらの脅威アクターたちは、流出したソースコードを利用することで、Linux システムを標的としたランサムウェアを、専門知識がなくても作成できるようになると、専門家たちは説明している。
Continue reading “Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された”FIN7 Hackers Caught Exploiting Recent Veeam Vulnerability
2023/04/26 SecurityWeek — ロシアのサイバー犯罪グループ FIN7 だが、パッチ未適用の Veeam Backup & Replication インスタンスを、最近の攻撃で悪用していることが確認されたと、サイバーセキュリティ企業 WithSecure が報告している。2015年頃から存在し、Anunak/Carbanak とも呼ばれる FIN7 は、主にクレジット・カード情報の窃盗にフォーカスする金銭的動機のあるグループだ。セキュリティ研究者たちは、多数のサブグループが、FIN7 傘下で活動していると考えている。これまでの数年間において、FIN7 の活動と重なる脅威アクターたちの中には、REVIL/DarkSide/BlackMatter/Alphv/Black Basta といったランサムウェアへ移行していった者も見られるという。
Continue reading “Veeam Backup & Replication の脆弱性:ロシアの FIN7 サイバー犯罪組織が狙っている – WithSecure”Microsoft: Over 100 threat actors deploy ransomware in attacks
2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black/BlackCat (別名 ALPHV) /Play/Vice Society/Black Basta/Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。
Continue reading “Microsoft 警告:ランサムウェアと情報窃取を仕掛ける 100以上の脅威アクターたち”Black Basta Deploys PlugX Malware in USB Devices With New Technique
2023/01/27 InfoSecurity — Black Basta ランサムウェア の侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。
Continue reading “Black Basta ランサムウェアの新戦術:USB デバイスに PlugX の高スティルス亜種”FIN7 hackers create auto-attack platform to breach Exchange servers
2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。
Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”New attacks use Windows security bypass zero-day to drop malware
2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。
Continue reading “Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚”Conti Affiliates Black Basta, BlackByte Continue to Attack Critical Infrastructure
2022/11/08 InfoSecurity — 2022年の2月末から 7月中旬にかけて、BlackByte と Black Basta のデータ漏洩サイトに 81件の被害者組織が掲載された。そのうち 41% は欧州に拠点を置いており、大半がエネルギー/政府/運輸/製薬/施設/食品/教育などの主要インフラ分野に属している。残りの 59% は主に米国にあり、農業機械メーカー/小規模食料品チェーン/建設会社などの、複数の被害者が含まれている。
Continue reading “Conti は死んでいない:Black Basta/BlackByte へのリブランドと欧米インフラへの攻撃”LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct
2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。
Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4
2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。
Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”Defenders Be Prepared: Cyberattacks Surge Against Linux Amid Cloud Migration
2022/09/06 DarkReading — Linux を実行するシステムの数と、それを攻撃する件数は、Windows に遠く及ばないだろうが、Linux ベースのサーバやテクノロジーに対する脅威アクターたちの関心は、このところ著しく高まってきている。今週に Trend Micro が発表したレポートによると、特にクラウドでの Linux インフラにおいて、ミッションクリティカルなアプリケーションやデータをホストする企業が増加していることが、その背景にあるようだ。Trend Micro は、Linuxシステムを標的とするランサムウェア攻撃が、2022年上半期に 75% 増加 (前年同期比) したことを確認している。
Continue reading “Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?”Ransomware attacks on Linux to surge
2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。
Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”QBot phishing uses Windows Calculator sideloading to infect devices
2022/07/24 BleepingComputer — マルウェア QBot のオペレーターたちは、感染させたコンピュータに悪意のペイロードをサイドロードするために、Windows Calculator を悪用している。DLL サイドローディングとは、Windows における Dynamic Link Libraries (DLL) の処理方法を悪用する一般的な攻撃方法である。偽装した DLL をロード・フォルダに配置することで、オペレーティング・システムに読み込ませるという手順で構成されている。
Continue reading “QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける”New Rust-based Ransomware Family Targets Windows, Linux, and ESXi Systems
2022/07/20 TheHackerNews — Kaspersky のセキュリティ研究者たちは、Rust で書かれた、全く新しいランサムウェアである Luna の詳細を公開した。これは、BlackCat/Hive に続いて、このプログラミング言語を使用する3番目のマルウェアとなる。Luna は、非常にシンプルであり、Windows/Linux/ESXi システム上で動作し、Curve25519/AES を組み合わせて暗号化を行う。
Continue reading “Luna という Rust ベースのランサムウェアが登場:Windows/Linux/ESXi システムを狙う”Hive Ransomware Upgrades to Rust for More Sophisticated Encryption Method
2022/07/06 TheHackerNews — Ransomware-as-a-Service (RaaS) Hive のオペレーターたちが、Hive の構成を全面的に見直し、記述言語を GoLang から Rust へと移行し、より洗練された暗号化方式を採用し始めた。火曜日のレポートで Microsoft Threat Intelligence Center (MSTIC) は、「Hive は、複数の大規模なアップグレードを伴う最新の亜種で、最も急速に進化するランサムウェア・ファミリーの1つであることも証明しており、絶えず変化するランサムウェアのエコシステムを実証している」と述べている。
Continue reading “Hive RaaS が Rust にアップグレード:より洗練された暗号化方式が実装されている”
IoT OT Security News 