Ransomware payments fell by 35% in 2024, totalling $813,550,000
2025/02/05 BleepingComputer — ランサムウェア攻撃者への、2024年の支払額は $813.55 million となり、2023年の $1.25 billion と比べて 35% 減となった。さらに、ランサムウェア攻撃者と交渉した被害者のうち、身代金を支払った組織は 30%ほどに過ぎなかった。
Continue reading “ランサムウェアの 2024年を分析:身代金総額 $813.55 M は前年比で 35% 減”A new variant of Cicada ransomware targets VMware ESXi systems
2024/09/02 SecurityAffairs — Cicada3301 は、新しい RaaS (ransomware-as-a-service) である。この脅威グループは極めて活発に動き回っており、6月中旬において、すでに 23社の被害者を恐喝ポータルにリストアップしている。Cicada 3301 は、2012〜2014年にネット上に “3301” という名前で投稿された、3組のパズルの名前に由来しているようだ。最初のパズルは、2012年1月4日に 4chan で始まり、ほぼ1カ月間も続いた。第2弾のパズルは、2013年1月4日に始まった。そして第3弾は 2014年1月4日に、 Twitter に投稿された新たなヒントの後に始まった。なお、この第3弾はまだ解かれていない。
Continue reading “Cicada3301 という新たな Rust RaaS:VMware ESXi システムを標的にしている”Ransomware Attacks Surge: $459 Million Paid in First Half of 2024
2024/08/18 SecurityOnline — 2024年上半期におけるランサムウェア攻撃の被害総額が、およそ $459 million に増加したことが、ブロックチェーン分析会社である Chainalysis の最新レポートにより明らかになった。この数字が浮き彫りにしているのは、大企業から地方自治体や病院にいたるまでの、あらゆるタイプの組織に影響を及ぼす、サイバー・セキュリティ危機の深刻化である。Chainalysis が追跡した、ランサムウェア・グループへの暗号通貨の支払い総額は、2023年の $449.1 million から、$10 million 増加していることが判明した。
Continue reading “ランサムウェア攻撃 2024 上半期調査:支払総額が $459M に増加 – Chainalysis”Notorious FIN7 hackers sell EDR killer to other threat actors
2024/07/17 BleepingComputer — 悪名高いハッキング・グループ FIN7 が、企業ネットワーク上のエンドポイント保護ソフトウェアを破壊して検知を回避するための、カスタム・ツール AvNeutralizer を販売していることが発見された。FIN7 はロシアのハッキング・グループと考えられており、その活動が観測され始めた 2013年頃は金融詐欺に注力しており、組織をハッキングしてデビットカードやクレジットカード情報を窃取してきた。同グループは、やがてランサムウェアの分野にも進出し、DarkSide/BlackMatter などの RaaS (ransomware-as-a-service) を使用し始めた。最近では、2024年3月頃に発生した、UnitedHealth からの身代金を持ち逃げるという BlackCat ランサムウェアの活動にも、FIN7 が関係している可能性が高いと見られている。
Continue reading “ロシアの FIN7 ギャング:セキュリティ回避ツール AvNeutralizer を販売していた”Prudential Financial now says 2.5 million impacted by data breach
2024/07/01 BleepingComputer — 世界的な金融サービス企業である Prudential Financial は、2024年2月に発生したデータ侵害の影響により、250万人以上の個人情報が漏洩したことを明らかにした。Prudential が米国証券取引委員会 (SEC) に提出した Form 8-K によると、サイバー犯罪グループと思われる攻撃者が同社のシステムに侵入し、管理者およびユーザーのデータや、従業員および契約者のアカウントにアクセスしたという。そして、侵害の翌日である 2月5日に、この事件を検知したという。
Continue reading “Prudential のセキュリティ侵害と ALPHV の犯行声明:250万人以上の顧客情報が流出”Zerologon Vulnerability Strikes Again: RansomHub Exploits Legacy Flaw
2024/06/05 SecurityOnline — RansomHub と呼ばれる新たなランサムウェアが急速に台頭し、現時点におけるランサムウェア・グループの中で、最も積極的に活動するグループの1つとなっている。Symantec の Threat Hunter チームは、この RansomHub と、従来からの Knight ランサムウェアとの間に強い関連性があることを発見し、Knight のリブランディング/アップデート・バージョンが、RansomHub であると示唆している。
Continue reading “Zerologon の脆弱性 CVE-2020-1472:RansomHub ランサムウェアが狙っている”Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern
2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。
Continue reading “VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia”Ransomware Rising Despite Takedowns, Says Corvus Report
2024/04/30 InfoSecurity — Corvus Insurance の最新レポートによると、2024年 Q1 に LockBit とALPHV/BlackCat が残した空白を、新たなランサムウェア・ギャングたちが、すでに埋めているようだ。4月30日に発表された “Ransomware Groups Don’t Die, They Multiply” で Corvus は、2024年 Q1 のランサムウェアの活動量は、前年同期と比較して 21% 増だったことを明らかにした。
Continue reading “ランサムウェア 2024 Q1 レポート:サイバー保険会社の視点で分析 – Corvus”CVE-2024-28222 (CVSS 9.8): Veritas NetBackup Remote Code Execution Vulnerability
2024/03/07 SecurityOnline — エンタープライズ向けバックアップ・ソリューションとして広く利用されている Veritas NetBackup に、深刻なセキュリティ脆弱性 CVE-2024-28222 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した、認証されていない攻撃者は、NetBackup サーバおよびクライアント上で、悪意のコードをリモートから実行する可能性を持つ。NetBackup BPCD プロセスで発見された CVE-2024-28222 は、不十分なファイル・パス検証に起因する。このバグにより、認証されていない攻撃者は、カスタム・ファイルのアップロードと実行が可能になる。
Continue reading “Veritas NetBackup の RCE 脆弱性 CVE-2024-28222 が FIX:直ちにアップデートを!”FBI: US Ransomware Losses Surge 74% to $59.6 Million in 2023
2024/03/07 InfoSecurity — FBI の Internet Crime Report 2023 によると、2023年の米国におけるランサムウェアの被害額は $59.6 m に急増し、前年の $34.4 m から 74% 増加した。この数字は、昨年に FBI に対して報告された、2825件のランサムウェア・インシデントに算出されたものであり、2022年との比較で 18% 増加している。
Continue reading “FBI 調査 2023:米国のランサムウェア被害額は $59.6 M 前年比 74% 増”LockBit Reigns Supreme in Soaring Ransomware Landscape
2024/02/02 InfoSecurity — XDR セキュリティ・プロバイダ ReliaQuest によると、2023年 Q4 にランサムウェア・キャンペーンが急増したのは、きわめて活発な LockBit グループが要因となっている。ReliaQuest が発表した Q4 2023 Ransomware Trends レポートによると、2023年10月〜12月のランサムウェアの活動は、2022年の同時期と比較して 80% 増加している。この期間において、合計で 1262件の被害者がデータ流出サイトに掲載されたが、その業種は製造/建設/専門職/科学技術サービスなどの多岐にわたっている。
Continue reading “LockBit が支配するランサムウェア市場:2023年 Q4 を解析する- ReliaQuest”First American takes IT systems offline after cyberattack
2023/12/21 BleepingComputer — 今日、米国第2位の保険会社と称される First American Financial Corporation が、サイバー攻撃の影響を食い止めるために、システムの一部をオフラインにした。同社の Web サイトには、「First American はサイバー・セキュリティー・インシデントに遭遇した。弊社は特定のシステムをオフラインにし、可能な限り早急に、通常の業務に戻れるよう取り組んでいる」と記されており、この記事が掲載される前に、公式 Web サイトがオフラインになった。
Continue reading “米国2位の保険会社 First American:インシデントによりシステムをオフラインに”ALPHV Second Most Prominent Ransomware Strain Before Reported Downtime
2023/12/18 infoSecurity — ALPHV グループの Web サイトが先日に削除されたが、それ以前の 2022年1月〜10月において、このランサムウェア系統が、北米/欧州で2番目に多く活動していたことが、ZeroFox の調査により明らかになった。同社の分析によると、BlackCat の別名で知られる ALPHV は、21カ月の期間に北米で発生した、ランサムウェアおよびデジタル恐喝 (R&DE) 攻撃の約 11% を占めていたことが判明した。それは、LockBit グループに次ぐものである。
Continue reading “ALPHV/BlackCat は2番手のランサムウェアだった:シャットダウン前の猛威を分析”LockBit ransomware now poaching BlackCat, NoEscape affiliates
2023/12/13 BleepingComputer — LockBit ランサムウェア・オペレーションは、BlackCat/ALPHV と NoEscape における最近の騒動の後に、そのアフィリエイトと開発者を募り始めている。その背景には、NoEscape と BlackCat/ALPHV ランサムウェア・オペレーションの Tor ウェブサイトが、先週に突然アクセス不能になったというインシデントがある。
Continue reading “LockBit が ALPHV/BlackCat/NoEscape のアフィリエイトたちを勧誘”ALPHV/BlackCat Site Downed After Suspected Police Action
2023/12/11 InfoSecurity — 現時点で、最も活発な RaaS グループのひとつが、オンライン上で混乱に見舞われているが、諜報専門家は警察の行動によるものだとしている。12月8日 (金) の Twitter で、サイバー脅威情報会社 RedSense は、ALPHV (別名BlackCat) に属するリークサイトが、法執行機関によりダウンさせられたことを、確認できたと述べている。しかし、RedSense の推定は、警察の動きに関する直接的な情報によるものではなく、サイバー犯罪コミュニティから収集した情報に基づいているようだ。
Continue reading “ALPHV/BlackCat のサイトがシャットダウン:法的執行機関による対応か?”BlackCat Ransomware Group Reports Victim to SEC
2023/11/16 InfoSecurity — 積極的に攻撃を繰り返すランサムウェア・グループが、支払いへと向けて圧力をかける目的で、ある被害者の米国証券取引委員会 (SEC) に報告したようだ。11月7日に BlackCat/ALPHV が、デジタル融資ソリューションプロバイダーの MeridianLink を侵害して機密データを流出させたと主張しているが、それに対して同社は否定しているという。そして BlackCat は、重大な影響を伴う侵害について、4日以内に開示することを義務付ける新たな SEC ルールを利用し、ハードルを上げていると示唆される。
Continue reading “BlackCat の申し立て:SEC に対して被害者のコンプライアンス違反を訴える”BlackCat Ransomware Gang Targets Businesses Via Google Ads
2023/11/15 InfoSecurity — 悪名高い ALPHV/BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。
Continue reading “ALPHV/BlackCat ランサムウェア:マルウェアの配布に Google 広告を悪用”Japan Aviation Electronics Targeted in Ransomware Attack
2023/11/09 SecurityWeek — 日本航空電子工業は、Alphv/BlackCat ランサムウェア・グループが犯行声明を出したサイバー攻撃から回復しつつある。1953年に設立され、東京都渋谷区に本社を置く日本航空電子工業 (JAE : Japan Aviation Electronics) は、電気コネクタ/航空宇宙用電子機器/ユーザーインターフェース関連機器を製造している。JAE は Web サイト上の通知で、このインシデントは 11月2日に発生し、同社のサーバの一部が外部からの不正アクセスを受けたと述べた。
Continue reading “日本航空電子工業へのランサムウェア攻撃:Alphv/Black が犯行を主張”Microsoft: 0ktapus Cyberattackers Evolve to ‘Most Dangerous’ Status
2023/10/27 DarkReading — Microsoft の 0ktapus サイバー攻撃集団に対する評価は、最も危険な金融犯罪集団のひとつであり、しかもますます巧妙になっているというものだ。最近になって 0ktapus は、MGM と Caesars Entertainment に対して、ランサムウェアによる破壊的な攻撃を行ったことで話題になった。このグループは、Microsoft が Scatter Swine/UNC3944 とも呼ぶ Octo Tempest であり、英語圏に属している。このグループは、通常、敵対的中間者 (AitM) や、ターゲットへの電話を伴うソーシャル・エンジニアリング、SIM スワッピングなどの攻撃を行っている。また、暗号通貨の窃盗/データ流出による恐喝/ランサムウェア攻撃なども行うとされている。
Continue reading “Microsoft 警告:最も危険なサイバー犯罪集団 0ktapus の分析結果を参照してほしい”Seiko “BlackCat” Data Breach: 60,000 Records on the Line
2023/10/25 InfoSecurity — Seiko Group Corporation (SGC) は、8月に発生したデータ漏洩につて、その範囲を公表した。同社の最新の通知は、60,000 件のレコードのセキュリティに重点を置いたものになっている。同社の Web サイトに、2023年8月10日の時点で公表されたデータ漏洩の通知は、7月28日に検知された不正アクセスに起因するものであり、ランサムウェア・グループ BlackCat がデータ漏洩サイトに、SEIKO をリストアップしたことを受けてのものである。なお、このインシデントは、個人情報保護委員会と警視庁に報告されたという。
Continue reading “SEIKO で発生した BlackCat データ侵害:60,000件の機密情報が流出と判明”ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers
2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Continue reading “ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用”ALPHV Group Claims The Hack Of Clarion, A Global Manufacturer Of Audio And Video Equipment For Cars
2023/09/24 SecurityAffairs — ALPHV ランサムウェア・グループの Tor 被害者リストに、車載用オーディオ・ビデオ機器の世界的メーカーである、日本の Clarion が追加された。Clarion Japan は、車載用音響/映像機器の世界的メーカーである、Clarion 株式会社の日本法人である。カーナビ/オーディオ/ビデオ・システムに加えて、バック・カメラなどの幅広い製品を開発/製造/販売している。また、Clarion Japan は、自動車のメンテナンス/修理等に関するソフトウェアのアップデートといった、様々なサービスも提供している。
Continue reading “日本の Clarion がランサムウェアに遭遇:ALPHV が犯行を表明し恐喝している”BlackCat ransomware hits Azure Storage with Sphynx encryptor
2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP:One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。
Continue reading “BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃”Japanese watchmaker Seiko breached by BlackCat ransomware gang
2023/08/21 BleepingComputer — BlackCat/ALPHV ランサムウェア・ギャングの恐喝サイトに、SEIKO の名前が加わり、今月の初めに同社が公表した、サイバー攻撃への対応を要求している。SEIKO は世界最大級の規模を誇る歴史のある時計メーカーであり、従業員数は約 12,000人/年間売上高は $1.6 billion を超える。2023年8月10日に同社は、データ漏洩の通知を発表し、無許可の第三者が IT インフラの一部に不正アクセスし、流出させたことを認めた。
Continue reading “SEIKO がハッキングされた:犯行を主張する BlackCat がサンプル・データを公開”Ransomware Surges With 1500 Confirmed Victims This Year
2023/08/17 InfoSecurity — Rapid7 の 2023 Mid-Year Threat Review によると、2023年の上半期においては、全世界で少なくとも 1500の組織がランサムウェア攻撃の被害に遭っている。これらの攻撃の大半は、主要なランサムウェア・ギャングである、LockBit (35.3%)/ALPHV/BlackCat (14.2%)/Cl0p (11.9%) により実施されている。Rapid7 の Vulnerability Research Manager である Caitlin Condon は、「2023年上半期のデータを集計した時点では、MOVEit Transfer ハッキングにおける新たな被害者を集計している最中であり、Cl0p によるインシデント数は、調査結果よりも多い可能性がある」と InfoSecurity に語っている。
Continue reading “急増するランサムウェア攻撃:2023年上半期には 1,500件の被害が確認された – Rapid7”New Nitrogen malware pushed via Google Ads for ransomware attacks
2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat/ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk/Cisco AnyConnect VPN/TreeSize Free/WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。
Continue reading “Nitrogen というキャンペーン:Google/Bing の広告を介してマルウェアを展開”Clop Drives Record Ransomware Activity in June
2023/07/21 InfoSecurity — NCC Group の Global Threat Intelligence Team の分析によると、6月のランサムウェア攻撃は前年同月比 221%増の 434件となり、過去最高を記録したことが判明した。この増加の要因として挙げられるのは、MOVEit の脆弱性を悪用する Clop によるグローバル組織への攻撃、および、Lockbit 3.0 などのグループによる一貫したハイレベルの活動、そして、5月以降に登場した新たなグループだと、同社は主張している。
Continue reading “2023年6月のランサムウェア攻撃件数:活発な Clop などにより過去最高を記録”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Malicious Windows kernel drivers used in BlackCat ransomware attacks
2023/05/22 BleepingComputer — ALPHV ランサムウェア・グループ (別名 BlackCat) が、署名された不正な Windows カーネル・ドライバを採用し、攻撃時におけるセキュリティ・ソフトウェアによる検出を回避していることが確認された。Trend Micro が確認した ALPHV のドライバは、昨年末のランサムウェア攻撃が生じた際に、Microsoft/Mandiant/Sophos/SentinelOne などが発見した、POORTRY という名のマルウェアの改良版である。
Continue reading “Windows 環境に潜む悪意のカーネル・ドライバ:BlackCat ランサムウェアの回避策が判明”Introducing the DRM-Report Q1 2023: Unveiling the Current State of Ransomware
2023/05/15 SecurityAffairs — サイバー・セキュリティ監視の独立したプラットフォームである Dashboard Ransomware Monitor が、2023年 Q1 における DRM-Report を発表した。この包括的なレポートは、世界中で憂慮すべきランサムウェア攻撃の増加を掘り下げ、サイバー犯罪者の活動の状況について、貴重な洞察を提供するものだ。
Continue reading “2023 Q1 のランサムウェア・レポートを提供:Dashboard Ransomware Monitor というプロジェクト”ALPHV/BlackCat ransomware affiliate targets Veritas Backup solution bugs
2023/04/04 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の3つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認された。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していない。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測した。
Continue reading “Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている”Microsoft: Over 100 threat actors deploy ransomware in attacks
2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black/BlackCat (別名 ALPHV) /Play/Vice Society/Black Basta/Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。
Continue reading “Microsoft 警告:ランサムウェアと情報窃取を仕掛ける 100以上の脅威アクターたち”BlackCat ransomware gang claims to have hacked US defense contractor NJVC
2022/10/02 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングが、米国の連邦政府/国防総省をサポートする IT 企業 NJVC に侵入したと主張している。同社は、情報機関/防衛機関/地理空間情報機関などを支援しており、世界中の拠点に 1,200人以上の従業員を擁している。BlackCat は、Tor リークサイトの被害者リストに NJVC を追加し、同社が身代金を支払わない場合には、盗み出したデータを公開すると脅迫している。
Continue reading “BlackCat ランサムウェア:米国の防衛関連企業 NJVC を攻撃”Emotet Botnet Started Distributing Quantum and BlackCat Ransomware
2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。
Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages
2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。
Continue reading “Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?”Google says former Conti ransomware members now attack Ukraine
2022/09/07 BleepingComputer — Google によると、サイバー犯罪組織 Conti の元メンバーの一部が、現在 UAC-0098 として追跡されている脅威グループに参加し、ウクライナの組織やヨーロッパの非政府組織 (NGO) を標的にしているという。UAC-0098 は、イニシャル・アクセス・ブローカーであり、企業ネットワーク内の侵害済みシステムへの、バンキング型トロイの木馬 IcedID を用いるアクセスを、ランサムウェア・グループに提供することで知られている。
Continue reading “Google TAG 警告:Conti ランサムウェアの元メンバーがウクライナを攻撃している”Hackers adopt Sliver toolkit as a Cobalt Strike alternative
2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。
Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”BlackCat ransomware claims attack on European gas pipeline
2022/08/01 BleepingComputer — BlackCat とも呼ばれるランサムウェア・ギャング ALPHV は、先週に、天然ガスパイプラインと電力ネットワークを中央ヨーロッパで運営する、Creos Luxembourg S.A. に対してサイバー攻撃を行ったと主張している。Creos のオーナーであり、EU5カ国でエネルギー供給事業を展開する Encevo は、7月22日〜23日にかけてサイバー攻撃を受けたと、7月25日に発表した。
Continue reading “BlackCat の犯行声明:天然ガスパイプライン Creos から 150GB のデータを奪った”New Rust-based Ransomware Family Targets Windows, Linux, and ESXi Systems
2022/07/20 TheHackerNews — Kaspersky のセキュリティ研究者たちは、Rust で書かれた、全く新しいランサムウェアである Luna の詳細を公開した。これは、BlackCat/Hive に続いて、このプログラミング言語を使用する3番目のマルウェアとなる。Luna は、非常にシンプルであり、Windows/Linux/ESXi システム上で動作し、Curve25519/AES を組み合わせて暗号化を行う。
Continue reading “Luna という Rust ベースのランサムウェアが登場:Windows/Linux/ESXi システムを狙う”Bandai Namco confirms hack after ALPHV ransomware data leak threat
2022/07/13 BleepingComputer — ゲーム・パブリッシング大手の Bandai Namco は、顧客の個人情報が盗まれる可能性のある、サイバー攻撃を受けたことを認めた。Bandai Namco は、Elden Ring/Dark Souls/Pac-Man/Tekken/Gundam/Soulcalibur などの、数多くの人気ビデオゲームを手がける日本のパブリッシャーである。この月曜日に、BlackCat ランサムウェア (別名 AlphV) が、 Bandai Namco のネットワークに侵入し、一連の攻撃の最中に、同社の企業データを盗んだと主張している。
Continue reading “BlackCat ランサムウェアが Bandai Namco を攻撃:顧客情報の漏えいなどを調査中”Conti ransomware finally shuts down data leak, negotiation sites
2022/06/24 BleepingComputer — Conti ランサムウェア・オペレーターは、データを漏洩させ、被害者と交渉するために使用されていた、Tor サーバで構成されるパブリックなインフラをついに閉鎖し、悪名高いサイバ犯罪ブランドとしての幕を閉じた。脅威情報アナリストの Ido Cohen によると、Conti のサーバーは水曜日にシャットダウンされており、現時点においてもオフラインであることを、BleepingComputer も確認している。
Continue reading “Conti がデータ漏洩と交渉のサイトを閉鎖:サイバー犯罪シンジケートとして活動を継続?”Ransomware gang publishes stolen victim data on the public Internet
2022/06/15 HelpNetSecurity — BlackCat (Alphv) ランサムウェア・グループは、被害者の組織から盗み出した従業員や顧客の機密データをクリアネット (パブリック・インターネット) サイトに掲載し、侵入後に沈黙を守る企業に対して支払いを迫るという新しい戦術を試みている。また、以前のランサムウェア・ギャングと同様に、漏洩した情報を用いて被害者である個人とダイレクトに連絡を取り、「オンライン検索が可能な誰もが、対象となる個人情報/財務情報/医療情報などが入手できる」と、通知しているものと思われる。
Continue reading “BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった”Microsoft: Exchange servers hacked to deploy BlackCat ransomware
2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。
Continue reading “Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている”Conti ransomware shuts down operation, rebrands into smaller units
2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。
Continue reading “Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた”BlackCat Ransomware gang breached over 60 orgs worldwide
2022/04/22 SecurityAffairs — 米国連邦捜査局 (FBI) は、2021年11月に活動を開始した BlackCat ランサムウェア (別名:ALPHV/Noberus) により、少なくとも全世界で 60 の事業体が侵害されたとする Flash Report を公開した。同組織はアドバイザリで、世界中で少なくとも 60 の事業体に侵入した Ransomware-as-a-Service である、BlackCat/ALPHV などによる攻撃に関連する、主要な Indicators Of Compromise (IOCs) を Flash Report で発表した。ユーザーおよび管理者が、FBI Flash CU-000167-MW の IOC と技術的な詳細を確認し、推奨される緩和策を適用することを推奨していると 、CISA は述べている。
Continue reading “BlackCat RaaS について FBI が警告:全世界で 60の組織が侵害されている”BlackCat Ransomware Targets Industrial Companies
2022/04/07 SecurityWeek — BlackCat/ALPHV/Noberus として追跡されているランサムウェア・グループが使用するデータ窃取ツールを分析すると、このサイバー犯罪者が製造業ををターゲットにすることに、強い関心を持っていることが示唆される。2021年11月に BlackCat は 出現し、Ransomware-as-a-Service (RaaS) モデルを利用することで、米国などの組織を標的にしてきた。
Continue reading “BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?”Cybercriminals launched 9.75 million DDoS attacks in 2021
2022/03/28 HelpNetSecurity — 2021年 2H において、サイバー犯罪者たちは約 440万件の DDoS (分散型サービス拒否) 攻撃を仕掛け、2021年の DDoS 攻撃の総数が 975万件に達したことが、NETSCOUT のレポートで明らかになった。これらの攻撃は、パンデミックの最盛期に記録したレベルからは 3% 減少しているが、パンデミック前のレベルを 14% 上回るペースで続いている。
Continue reading “2021年の DDoS 攻撃数は 975万件:パンデミック前のレベルを 14% 上回るペース”Hive ransomware ports its Linux VMware ESXi encryptor to Rust
2022/03/27 BleepingComputer — ランサムウェア Hive は、VMware ESXi Linux 用の暗号化ツールを、Rust プログラミング言語で書き換え、セキュリティ研究者による身代金交渉のチェックを、難しくするための新機能を追加した。企業における仮想マシンへの依存度は、コンピュータ・リソースの節約/サーバの統合/バックアップの容易化などのニーズの中で高まっているが、このランサムウェア集団は、それらのサービスに特化した専用の暗号化ツールを作成している。
Continue reading “Hive が Linux VMware ESXi 暗号化ツールを Rust に移植:解析と分析が困難に”Major German fuel storage provider hit with cyberattack, working under limited operations
2022/02/01 CyberScoop — 日曜日に、ドイツの大手石油貯蔵会社である Ooltanking GmbH Group にサイバー攻撃が襲ったことを、同社の声明により確認した。Handelsblatt が入手したドイツ情報局の報告書によると、BlackCat ランサムウェアによる攻撃が生じたとされる。ドイツのニュース・メディア Handelsblatt が最初に報じたところによると、この攻撃は Oiltanking の IT システムに加えて、鉱物油貿易会社 Mabanaft の IT システムにも影響を与えた。両社は、ハンブルグに本社を置く、世界最大級のエネルギー供給企業である Marquard & Bahls グループに属している。
Continue reading “ドイツ大手石油貯蔵会社の Oiltanking を BlackCat ランサムウェアが攻撃”Global IT services provider Inetum hit by ransomware attack
2021/12/24 BleepingComputer — クリスマス休暇まで1週間を切ったところで、フランスの IT サービス企業である Inetum Group がランサムウェア攻撃を受けたが、事業や顧客への影響は限定的だった。Inetum は 26カ国以上で事業を展開しており、航空宇宙/防衛/銀行/自動車/エネルギー/公益/ヘルスケア/保険/小売/公共部門/輸送/通信/メディアなどの、さまざまな分野にデジタル・サービスを提供している。
Continue reading “グローバル IT SP の Inetum がランサムウェア攻撃に遭ったが被害は限定的”
IoT OT Security News 