Telecom Giant BT Group Hit by Black Basta Ransomware
2024/12/05 HackRead — 英国の大手通信企業である British Telecom (BT) Group への、Black Basta によるランサムウェア攻撃が発生した。BT の Conferencing セクションを標的とした、この攻撃により、同社はサーバのシャットダウンとデータ盗難に見舞われた。
Continue reading “英 BT Group でデータ侵害が発生:Black Basta ランサムウェア・グループが犯行を主張”Akira and Fog ransomware now exploit critical Veeam RCE flaw
2024/10/10 BleepingComputer — Veeam Backup & Replication (VBR) サーバに存在する、RCE の脆弱性 CVE-2024-40711 が、ランサムウェア・グループに悪用されていることが判明した。この脆弱性 CVE-2024-40711 は、認証されていない攻撃者が低複雑度攻撃で悪用できる、信頼されていないデータに対するデシリアライゼーションの欠陥に起因する。Code White のセキュリティ研究者である Florian Hauser により、この脆弱性は発見された。
Continue reading “Veeam の RCE 脆弱性 CVE-2024-40711:Akira/Fog ランサムウェアが悪用”BlackByte Ransomware group targets recently patched VMware ESXi flaw CVE-2024-37085
2024/08/27 SecurityAffairs — 先日にパッチが適用されたVMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、BlackByte ランサムウェア・グループが悪用していることを、Cisco Talos が確認した。以前にも複数のランサムウェア・グループが、この脆弱性を悪用していることが確認されている。この7月末には Microsoft が、「複数のランサムウェア・オペレーターが VMware ESXi の脆弱性を悪用し、ドメイン結合された ESXi ハイパーバイザーの完全な管理者権限を取得している状況を、研究者たちが発見した」と警告を発している。
Continue reading “VMware ESXi の脆弱性 CVE-2024-37085:BlackByte ランサムウェアによる悪用を確認”LockBit ransomware returns to attacks with new encryptors, servers
2024/02/28 BleepingComputer — LockBitランサムウェア・ギャングは、先週に発生した法執行機関からの妨害の後に、身代金メモを持つ更新された暗号化機能を新しいサーバにリンクさせ、再び攻撃を行なっている。先週の NCA/FBI/Europol による Operation Cronos は、LockBit ランサムウェアに対して仕掛けられた、共同の破壊作戦であった。
Continue reading “LockBit ランサムウェアが復活:新たな暗号化機能で攻撃を再開している”CISA Warning: Akira Ransomware Exploiting Cisco ASA/FTD Vulnerability
2024/02/16 TheHackerNews — 2024年2月15日 (木) に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco の Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTDI) の脆弱性 (パッチ適用済み) が、Akiraランサムウェア攻撃で悪用されている可能性が高いとの報告を受け、それらを Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 24/02/15:Cisco ASA/FTD の脆弱性 CVE-2020-3259 を狙う Akira”Monti Ransomware gang launched a new Linux encryptor
2023/08/15 SecurityAffairs — Monti ランサムウェアのオペレーターが、2ヶ月の休みを経て、暗号化ソフトを刷新した Linux バージョンを携えて戻ってきた。この亜種は、政府や司法の組織を狙った攻撃で使用されている。 Monti グループは、Conti ランサムウェア・ギャングが活動を停止した直後の、2022年6月から活動を開始している。研究者たちは、この2つのギャングの TTP に、複数の類似点があることに気づいた。つまり、Monti のオペレータも、Conti から流出したソースコード・ベースにして暗号化を行っていたのだ。
Continue reading “Monti ランサムウェアの最新 Linux encryptor:Conti からの継承を削減している”Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Continue reading “PindOS という JavaScript マルウェア・ローダー: Bumblebee/IcedID との関係は?”Ransomware Gangs Adopting Business-like Practices to Boost Profits
2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
Continue reading “ランサムウェアとアクセス・ブローカー:地下でつながり利益を上げるグループたち – WithSecure”Google ads push BumbleBee malware used by ransomware gangs
2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader の代替として、Conti チームが開発したものだと考えられている。
Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”Ex-Conti members and FIN7 devs team up to push new Domino malware
2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、2つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく 。
Continue reading “Conti 元メンバーと FIN7 開発者の共闘:新たな Domino マルウェアを配布している”Chinese and Russian Hackers Using SILKLOADER Malware to Evade Detection
2023/03/16 TheHackerNews — 中国/ロシアのサイバー犯罪エコシステムに属する脅威アクター・グループが、感染させたマシン上に Cobalt Strike をロードするために設計された、新たなマルウェアを使用していることが確認されている。フィンランドのサイバー・セキュリティ企業 WithSecure は、DLL のサイドローディング技術を利用して、商業的アドバイザリを装うソフトウェアを配信する、このマルウェアを SILKLOADERと名付けた。
Continue reading “SILKLOADER という検出回避に優れたマルウェア:中国/ロシアの犯罪エコシステムが連携?”Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine
2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250% の、NATO 諸国を標的としたものは 300% の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の1つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。
Continue reading “ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する”LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor
2023/02/02 BleepingComputer — LockBit ランサムウェア・ギャングは、他のオペレーションが開発した暗号化システムを使い始めている。今回に流出したのは、Conti ランサムウェアが使用していた暗号化システムの、ソースコードをベースにしたものに切り替わっている。LockBit が登場したときはカスタム暗号から始まったが、BlackMatter ギャングのソースコードに由来する LockBit 3.0 (別名 LockBit Black) へと、暗号化システムを切り替えていた。
Continue reading “LockBit Green という亜種:Conti ベースの暗号化システムが使用されている”Microsoft: Over 100 threat actors deploy ransomware in attacks
2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black/BlackCat (別名 ALPHV) /Play/Vice Society/Black Basta/Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。
Continue reading “Microsoft 警告:ランサムウェアと情報窃取を仕掛ける 100以上の脅威アクターたち”Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ
2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。
Continue reading “Hive ランサムウェアがシャットダウン:復活はないのか? 犯人たちは何処へ行くのか?”CISA: Federal agencies hacked using legitimate remote desktop tools
2023/01/25 BleepingComputer — 今日の共同アドバイザリで CISA/NSA/MS-ISAC は、正規の RMM (Remote Monitoring and Management) ソフトウェアを悪意の目的で、攻撃者たちが使用する傾向が強まっていることを警告した。さらに心配なことに、2022年10月中旬の Silent Push レポートの発表後に、複数の連邦民間行政機関 (FCEB) ネットワーク内において、CISA が EINSTEIN 侵入検知システムで管理しているにも関わらず、悪意のアクティビティが発見されている点だ。
Continue reading “CISA が連邦政府組織に警告:正規の RMM ソフトウェアを介した攻撃が蔓延”Conti Affiliates Black Basta, BlackByte Continue to Attack Critical Infrastructure
2022/11/08 InfoSecurity — 2022年の2月末から 7月中旬にかけて、BlackByte と Black Basta のデータ漏洩サイトに 81件の被害者組織が掲載された。そのうち 41% は欧州に拠点を置いており、大半がエネルギー/政府/運輸/製薬/施設/食品/教育などの主要インフラ分野に属している。残りの 59% は主に米国にあり、農業機械メーカー/小規模食料品チェーン/建設会社などの、複数の被害者が含まれている。
Continue reading “Conti は死んでいない:Black Basta/BlackByte へのリブランドと欧米インフラへの攻撃”LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct
2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。
Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”Callback phishing attacks evolve their social engineering tactics
2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。
Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System
2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。
Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”LockBit ransomware builder leaked online by “angry developer”
2022/09/21 BleepingComputer — ランサムウェア LockBit だが、不満を持つ開発者とされる人物から、最新の暗号化ソフトのビルドが流出されるという裏切り行為を受けているようだ。この6月に、LockBit ランサムウェアは、2ヶ月間にわたるテストの後に、コードネーム LockBit Black と呼ばれる暗号化装置の Ver 3.0 をリリースした。この新バージョンは、「ランサムウェアを再び偉大なものにする」ことを約束し、新しいアンチ解析機能や、ランサムウェアのバグバウンティ・プログラム、新たな強奪方法などを追加している。しかし、2人 (あるいは同一人物) の不満分子が、Twitter で LockBit 3.0 Builder を流出させるなど、LockBit の運営者は厄介な情報漏洩に見舞われているようだ。
Continue reading “LockBit 3.0 Builder が流出:不満を持つ開発者の裏切りがもたらす大きな影響とは?”Emotet Botnet Started Distributing Quantum and BlackCat Ransomware
2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。
Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages
2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。
Continue reading “Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?”Google says former Conti ransomware members now attack Ukraine
2022/09/07 BleepingComputer — Google によると、サイバー犯罪組織 Conti の元メンバーの一部が、現在 UAC-0098 として追跡されている脅威グループに参加し、ウクライナの組織やヨーロッパの非政府組織 (NGO) を標的にしているという。UAC-0098 は、イニシャル・アクセス・ブローカーであり、企業ネットワーク内の侵害済みシステムへの、バンキング型トロイの木馬 IcedID を用いるアクセスを、ランサムウェア・グループに提供することで知られている。
Continue reading “Google TAG 警告:Conti ランサムウェアの元メンバーがウクライナを攻撃している”Ransomware attacks on Linux to surge
2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。
Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”Infra Used in Cisco Hack Also Targeted Workforce Management Solution
2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。
Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”Hackers adopt Sliver toolkit as a Cobalt Strike alternative
2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。
Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”Hackers Using Bumblebee Loader to Compromise Active Directory Services
2022/08/18 TheHackerNews — BazarLoader/TrickBot/IcedID といった脅威アクターたちが、ターゲットのネットワークを侵害する際に、マルウェアローダーとして Bumblebee を利用するケースが増大している。Cybereason の研究者である Meroujan Antonyan と Alon Laufer は、技術文書で、「Bumblebee のオペレーターたちは、集中的な偵察活動を行い、実行されたコマンドの出力をファイルへリダイレクトして抽出する」と述べている。
Continue reading “Active Directory と Bumblebee:侵害後に BazarLoader/TrickBot/IcedID などをロード”Callback phishing attacks see massive 625% growth since Q1 2021
2022/08/15 BleepingComputer — ハッカーたちは、企業ネットワークに侵入するために、そして、ランサムウェアやデータ窃取の攻撃を仕掛けるために、Eメールと音声コールを組み合わせたソーシャル・エンジニアリングという、ハイブリッド型のフィッシング攻撃に主軸を移行しつつある。 Agari の 2022年 Q2 のサイバーインテリジェンス・レポートによると、フィッシング詐欺の件数は、2022年 Q1 と比較して6%しか増加していない。しかし、ハイブリッドなヴィッシング詐欺の利用は、625% という大幅な伸びを見せているという。
Continue reading “フィッシング攻撃の変化:コールバック型が 2021/2022 比較で 625% の大幅増”Conti Cybercrime Cartel Using ‘BazarCall’ Phishing Attacks as Initial Attack Vector
2022/08/11 TheHackerNews — Conti サイバー犯罪カルテルの3つの分派が、標的ネットワークに侵入する際のイニシャル・アクセスの手段として、コールバック・フィッシングの手法を採用している。水曜日に発表したレポートにおいて、サイバー・セキュリティ企業である AdvIntel は、「それらの3つの自律的な脅威グループが、コールバック・フィッシングの手法から派生した、独自の標的型フィッシング戦術を開発/採用している」と述べている。
Continue reading “Conti フラッシュバック:BazarCall による巧妙なフィッシング手口を分析する”Microsoft Adds Default Protection Against RDP Brute-Force Attacks in Windows 11
2022/07/25 TheHackerNews — Microsoft は Windows 11 の最新ビルドの一部において、Remote Desktop Protocol (RDP) ブルートフォース攻撃防止の措置を講じることで、進化する脅威に対するセキュリティ水準を高めようとしている。この措置により、Windows 11 ビルド (特に Insider Preview ビルド 22528.1000 以降) のデフォルト・ポリシーでは、無効なサインインを 10 回試行すると、アカウントが自動的に 10 分間ロックされるようになる。
Continue reading “Windows 11 RDP セキュリティ強化:ブルートフォース攻撃に対するデフォルト保護機能の追加”Russian Cybercrime Trickbot Group is systematically attacking Ukraine
2022/07/08 SecurityAffairs — IBM の研究者たちは、ロシアを拠点とするサイバー犯罪者 Trickbot グループ (別名 Wizard Spider/DEV-0193/ITG23) が、ウクライナ侵攻以来、組織的に攻撃を続けてきたことを示す証拠を収集した。また、2022年2月以降においては、Conti ランサムウェア・グループが TrickBot マルウェアの運用を引き継ぎ、さらに BazarBackdoor マルウェアへと置き換えることを計画していた。
Continue reading “Trickbot のシステマチックな活動:ロシアによるウクライナ攻撃で観測”Hive Ransomware Upgrades to Rust for More Sophisticated Encryption Method
2022/07/06 TheHackerNews — Ransomware-as-a-Service (RaaS) Hive のオペレーターたちが、Hive の構成を全面的に見直し、記述言語を GoLang から Rust へと移行し、より洗練された暗号化方式を採用し始めた。火曜日のレポートで Microsoft Threat Intelligence Center (MSTIC) は、「Hive は、複数の大規模なアップグレードを伴う最新の亜種で、最も急速に進化するランサムウェア・ファミリーの1つであることも証明しており、絶えず変化するランサムウェアのエコシステムを実証している」と述べている。
Continue reading “Hive RaaS が Rust にアップグレード:より洗練された暗号化方式が実装されている”Conti ransomware finally shuts down data leak, negotiation sites
2022/06/24 BleepingComputer — Conti ランサムウェア・オペレーターは、データを漏洩させ、被害者と交渉するために使用されていた、Tor サーバで構成されるパブリックなインフラをついに閉鎖し、悪名高いサイバ犯罪ブランドとしての幕を閉じた。脅威情報アナリストの Ido Cohen によると、Conti のサーバーは水曜日にシャットダウンされており、現時点においてもオフラインであることを、BleepingComputer も確認している。
Continue reading “Conti がデータ漏洩と交渉のサイトを閉鎖:サイバー犯罪シンジケートとして活動を継続?”Atlassian Confluence Server Bug Under Active Attack to Distribute Ransomware
2022/06/18 DarkReading — Atlassian Confluence Server における、先日に公開リモートコード実行 (RCE) の深刻な脆弱性が一連の攻撃に頻繁にさらされ、マルウェアやランサムウェアなどが展開されている。Sophos の研究者たちによると、Windows/Linux サーバ上で動作する脆弱な Atlassian Confluence インスタンスに対して、脅威アクターによる自動化されたエクスプロイト攻撃が、これまでの2 週間で複数回観測されているという。
Continue reading “Atlassian Confluence の脆弱性 CVE-2022-26134:脆弱なインスタンス数は減ったが攻撃が活発化”Microsoft: Exchange servers hacked to deploy BlackCat ransomware
2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。
Continue reading “Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている”Emotet malware now steals credit cards from Google Chrome users
2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。
Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”Conti ransomware targeted Intel firmware for stealthy attacks
2022/06/02 BleepingComputer — Conti ランサムウェアから流出したチャットを分析した研究者たちは、ロシアのサイバー犯罪グループ内のチームが、ファームウェアのハッキングを積極的に行ってきたことを発見した。このサイバー犯罪シンジケートのメンバーたちが交わしたメッセージによると、Conti の開発者は、Intel の Management Engine (ME) を活用してフラッシュを上書きし、System Management Mode (SMM) を実行させる PoC コードを作成していたことが判明した。
Continue reading “Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない”Researchers Devise Attack Using IoT and IT to Deliver Ransomware Against OT
2022/06/01 SecurityWeek — ランサムウェアとは、恐喝の一種である。その唯一の目的は、被害者から金銭を引き出すことだ。産業界が身代金要求の回避に成功すると、攻撃者はもう一つのレベルの強要を、すなわちデータ恐喝を追加するという、二重の強要を作り出した。防御側が二重の恐喝を上手くわすようになると、攻撃者は再び進化を遂げるだろう。最も明白な道は、IT だけでなく OT (Operational Technology も攻撃することだろう。OT に対する攻撃の実現は困難だが、その効果を緩和することも同様に困難である。サイバー恐喝の進化は、OT に対する攻撃を、単なる可能性には留まらせない。
Continue reading “R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明”Ransomware attacks need less than four days to encrypt systems
2022/06/01 BleepingComputer — 2021年におけるランサムウェア攻撃の持続時間は、イニシャル・ネットワーク・アクセスからペイロード展開までを計測した結果、平均で 92.5時間でとなった。2020年のランサムウェア・アクターたちは、攻撃を完了するまでに平均で 230時間を、また、2019年は 1637.6時間を費やしていた。この変化は、大規模オペレーションと高収益性を目指して、ランサムウェア運用者たちが時間をかけて進化させてきた、より合理的なアプローチを反映するものだ。
Continue reading “ランサムウェアの調査:IBM X-Force が指摘する攻防時間の大幅な短縮とは?”Ransomware still winning: Average ransom demand jumped by 45%
2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。
Continue reading “ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明”Conti ransomware shuts down operation, rebrands into smaller units
2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。
Continue reading “Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた”US offers $15 million reward for info on Conti ransomware gang
2022/05/07 BleepingComputer — 米国国務省 (Department of State) は、Conti ランサムウェア・ギャング幹部などの特定と所在確認に有効な情報に対して、最大で $15 million の報奨金を提供している。この報奨金のうち、$10 million はリーダーなどの身元や居場所に関する情報に対して、さらに $5 million はランサムウェア攻撃に関連する、逮捕や有罪につながる情報に対して提供されるという。
Continue reading “米国務省 $15 million の報奨金:Conti ランサムウェアに関する情報を求める”Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild
2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。
Continue reading “Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?”Conti ransomware operations surge despite the recent leak
2022/04/27 SecurityAffairs — Secureworks の研究者たちは、ロシアを拠点とする脅威アクター Gold Ulrick として追跡されている Conti ランサムウェアについて、内部活動に関するデータリークにもかかわらず、活発に活動し続けていると述べている。このグループの、通信内容/ソースコード/運用情報などが公開されたが、その活動は 2021年に記録したピーク・レベルへと戻っている。
Continue reading “Conti の活動がピーク値に戻る:逆リークを跳ね除けて被害者を増やしている?”Karakurt revealed as data extortion arm of Conti cybercrime syndicate
2022/04/14 BleepingComputer — サイバー犯罪者が管理するサーバーに対して、逆侵入したセキュリティ研究者たちにより、最近になって出現した Karakurt データ強奪グループと、Conti ランサムウェアとの関連性が発見され、この2つのギャングが同じオペレーションに属することが明らかになった。ロシアの組織である Conti ランサムウェア・シンジケートは、あるハッキング・グループによる内部会話やソースコードの大量流出にもかかわらず、機能不全に陥ることもなく、現時点で最も盛んなサイバー犯罪者グループの1つであり続けている。
Continue reading “研究者たちが逆侵入:データ強奪犯 Karakurt は Conti シンジケートの一員だと判明”Wind turbine firm Nordex hit by Conti ransomware attack
2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発/製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。
Continue reading “風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている”FBI: Ransomware hit 649 critical infrastructure orgs in 2021
2022/03/23 BleepingComputer — FBI は、Crime Complaint Center (IC3) の 2021 Internet Crime Report を引用するかたちで、昨年には米国の複数の重要インフラ部門の少なくとも 649 組織が、ランサムウェアによりネットワークを侵害されたと発表した。ただし FBI は、重要インフラ分野で報告されたランサムウェア・インシデントの追跡が、2021年6月に開始されていることから、実際の数字は増大するはずだと述べている。また FBI は、Crime Complaint Center (IC3) に被害者が苦情を申し立てなかった場合も、その攻撃は統計に含まれないとしている。
Continue reading “FBI レポート:2021年のランサムウェアは重要インフラ 649 件を攻撃”Ukrainian Security Researcher Leaks Newer Conti Ransomware Source Code
2022/03/21 SecurityWeek — ロシアがウクライナ侵攻を開始した直後に、ランサムウェア・グループ Conti はロシアへの攻撃の報復として、ロシアの敵国の重要インフラを攻撃する用意があると声明を発表した。これを受けて、匿名の人物が Conti Leaks という Twitter アカウントを開設し、このランサムウェアから盗んだとされるファイルの公開を開始した。最初のリーク情報は、過去1年間に Conti のメンバー間で交わされたメッセージだった。
Continue reading “ウクライナの研究者の反撃:Conti の最新ソースコードが新たにリークされる”
IoT OT Security News 
You must be logged in to post a comment.