Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?

Defenders Be Prepared: Cyberattacks Surge Against Linux Amid Cloud Migration

2022/09/06 DarkReading — Linux を実行するシステムの数と、それを攻撃する件数は、Windows に遠く及ばないだろうが、Linux ベースのサーバやテクノロジーに対する脅威アクターたちの関心は、このところ著しく高まってきている。今週に Trend Micro が発表したレポートによると、特にクラウドでの Linux インフラにおいて、ミッションクリティカルなアプリケーションやデータをホストする企業が増加していることが、その背景にあるようだ。Trend Micro は、Linuxシステムを標的とするランサムウェア攻撃が、2022年上半期に 75% 増加 (前年同期比) したことを確認している。

Continue reading “Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?”

BlackCat ランサムウェアが Bandai Namco を攻撃:顧客情報の漏えいなどを調査中

Bandai Namco confirms hack after ALPHV ransomware data leak threat

2022/07/13 BleepingComputer — ゲーム・パブリッシング大手の Bandai Namco は、顧客の個人情報が盗まれる可能性のある、サイバー攻撃を受けたことを認めた。Bandai Namco は、Elden Ring/Dark Souls/Pac-Man/Tekken/Gundam/Soulcalibur などの、数多くの人気ビデオゲームを手がける日本のパブリッシャーである。この月曜日に、BlackCat ランサムウェア (別名 AlphV) が、 Bandai Namco のネットワークに侵入し、一連の攻撃の最中に、同社の企業データを盗んだと主張している。

Continue reading “BlackCat ランサムウェアが Bandai Namco を攻撃:顧客情報の漏えいなどを調査中”

BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった

Ransomware gang publishes stolen victim data on the public Internet

2022/06/15 HelpNetSecurity — BlackCat (Alphv) ランサムウェア・グループは、被害者の組織から盗み出した従業員や顧客の機密データをクリアネット (パブリック・インターネット) サイトに掲載し、侵入後に沈黙を守る企業に対して支払いを迫るという新しい戦術を試みている。また、以前のランサムウェア・ギャングと同様に、漏洩した情報を用いて被害者である個人とダイレクトに連絡を取り、「オンライン検索が可能な誰もが、対象となる個人情報/財務情報/医療情報などが入手できる」と、通知しているものと思われる。

Continue reading “BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった”

Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている

Microsoft: Exchange servers hacked to deploy BlackCat ransomware

2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。

Continue reading “Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている”

米国務省 $15 million の報奨金:Conti ランサムウェアに関する情報を求める

US offers $15 million reward for info on Conti ransomware gang

2022/05/07 BleepingComputer — 米国国務省 (Department of State) は、Conti ランサムウェア・ギャング幹部などの特定と所在確認に有効な情報に対して、最大で $15 million の報奨金を提供している。この報奨金のうち、$10 million はリーダーなどの身元や居場所に関する情報に対して、さらに $5 million はランサムウェア攻撃に関連する、逮捕や有罪につながる情報に対して提供されるという。

Continue reading “米国務省 $15 million の報奨金:Conti ランサムウェアに関する情報を求める”

BlackCat RaaS について FBI が警告:全世界で 60の組織が侵害されている

BlackCat Ransomware gang breached over 60 orgs worldwide

2022/04/22 SecurityAffairs — 米国連邦捜査局 (FBI) は、2021年11月に活動を開始した BlackCat ランサムウェア (別名:ALPHV/Noberus) により、少なくとも全世界で 60 の事業体が侵害されたとする Flash Report を公開した。同組織はアドバイザリで、世界中で少なくとも 60 の事業体に侵入した Ransomware-as-a-Service である、BlackCat/ALPHV などによる攻撃に関連する、主要な Indicators Of Compromise (IOCs) を Flash Report で発表した。ユーザーおよび管理者が、FBI Flash CU-000167-MW の IOC と技術的な詳細を確認し、推奨される緩和策を適用することを推奨していると 、CISA は述べている。

Continue reading “BlackCat RaaS について FBI が警告:全世界で 60の組織が侵害されている”

BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?

BlackCat Ransomware Targets Industrial Companies

2022/04/07 SecurityWeek — BlackCat/ALPHV/Noberus として追跡されているランサムウェア・グループが使用するデータ窃取ツールを分析すると、このサイバー犯罪者が製造業ををターゲットにすることに、強い関心を持っていることが示唆される。2021年11月に BlackCat は 出現し、Ransomware-as-a-Service (RaaS) モデルを利用することで、米国などの組織を標的にしてきた。

Continue reading “BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?”

2021年のランサムウェア総被害額は $602 M:トップの Conti は $180 M も稼いだらしい

Organizations paid at least $602 million to ransomware gangs in 2021

2022/02/13 SecurityAffairs — 先週に、英国/米国/オーストラリアのサイバー・セキュリティ機関が、2021年にランサムウェアの脅威がグローバル化したとする共同勧告を発表した。ブロック・チェーン分析企業の Chainalysis が発表したレポートによると、2021年中に組織が支払った暗号通貨は $602 million 相当となる。この数字は、2020年の $692 million と比べて僅かに減少しているが、Chainalysis の専門家は、今後の数週間で他の支払いが追加される可能性があると述べている。

Continue reading “2021年のランサムウェア総被害額は $602 M:トップの Conti は $180 M も稼いだらしい”

ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?

Five Key Signals From Russia’s REvil Ransomware Bust

2022/01/18 SecurityWeek — 突然にロシアの最高法執行機関が、ランサムウェア REvil を公開捜査したことで、大規模なランサムウェア攻撃を阻止する鍵は、外交が握っているのではないかと話題になっている。この囮捜査は、「米国の要請を受けて」という慎重な発表に続いて行われたが、その背景には、ロシアとウクライナの地政学的な対立がある。そして、すでに、データ消去などを目的とした、ウクライナ政府に対するマルウェア攻撃や標的型 Web サイトの改ざんに結びついている。

Continue reading “ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?”

ロシア当局が REvil ランサムウェア・ギャングを壊滅させた

Russia Lays the Smackdown on REvil Ransomware Gang

2022/01/14 SecurityWeek — 金曜日にロシア当局は、ソフトウェア・メーカー Kaseya に対するサプライチェーン攻撃や、JBS USA に対するランサムウェア攻撃を行い、世界最大の食肉加工会社の一部を閉鎖に追い込んだハッキング・グループ REvil を取り締まったと発表した。ハッカーグループ Sodinokibi のメンバーは、ロシア国内での罪で起訴され、そのインフラは破壊されたと、モスクワの治安機関 FSB の広報部門が、ロシアの Interfax 通信社に伝えた。

Continue reading “ロシア当局が REvil ランサムウェア・ギャングを壊滅させた”

Conti ランサムウェアが7月以降で稼いだ 30億円:その金の流れを追跡する

Conti ransomware operations made at least $25.5 million since July 2021

2021/11/19 SecurityAffairs — ブロックチェーン分析企業 Elliptic の支援を受けて、スイスのセキュリティ企業 Prodaft が実施した調査により、ランサムウェア Conti の運用者は、2021年7月以降に支払われた身代金のうち、少なくとも $25.5 million の収益を得ていることが明らかになった。

Continue reading “Conti ランサムウェアが7月以降で稼いだ 30億円:その金の流れを追跡する”

米国務省が 10億円の報奨金:DarkSide ランサムウェアに関する情報を収集

State Department offers $10 million reward for help identifying DarkSide ringleaders

2021/11/04 CyberScoop — 木曜日に米国の State Department は、ランサムウェア DarkSide のリーダーの居場所に関する情報に $10 million、同グループの関連会社の逮捕または有罪につながる情報に $5 million の懸賞金をかけることを発表した。DarkSide は、5月に燃料供給会社 Colonial Pipeline をハッキングして、操業停止に追い込んでいる。それにより、米国の一部の地域では、ガソリンスタンドでパニック的な買い占めが発生した。

Continue reading “米国務省が 10億円の報奨金:DarkSide ランサムウェアに関する情報を収集”

FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している

FBI: Ransomware Attacks Exploit Financial Business Events

2021/11/02 SecurityWeek — 先週に FBI は、ランサムウェアの実行者が、企業の合併/買収や株式評価に関する情報を利用して恐喝攻撃を仕掛けていることについて、業界全体の注意を喚起する通知を発出した。ランサムウェアの実行者が、被害者への攻撃を開始する前に、公開されている情報や重要な未公開データを利用して、広範な調査を行うことは周知のとおりである。

Continue reading “FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している”

Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加

Hive ransomware now encrypts Linux and FreeBSD systems

2021/10/29 BleepingComputer — ランサムウェア Hive は、Linux や FreeBSD をターゲットに開発された新種のマルウェアを用いて、これらのプラットフォームも暗号化してしまう。しかし、スロバキアのインターネット・セキュリティ企業 ESET が発見したように、Hive の新しい暗号化ツールは開発中であり、機能が不足している。

Continue reading “Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加”

REvil ランサムウェアのマスター復号キーには法執行機関が絡んでいる?

Free REvil ransomware master decrypter released for past victims

2021/09/16 BleepingComputer — ランサムウェア REvil 用のマスター復号キーが無料で公開され、このギャングが姿を消す前に暗号化された、すべての被害者のデータが復元できるようになった。REvil マスター復号キーは、サイバーセキュリティ企業の Bitdefender が、信頼できる法執行機関と共同で作成したものだ。

Continue reading “REvil ランサムウェアのマスター復号キーには法執行機関が絡んでいる?”

Olympus がサイバー攻撃に遭っている:BlackMatter ランサムウェアの犯行か?

BlackMatter ransomware hits medical technology giant Olympus

2021/09/13 BleepingComputer — 医療技術のリーディング・カンパニーである Olympus は、先週に EMEA (欧州/中東/アフリカ) の一部で IT システムに影響を与えた、サイバー・セキュリティ・インシデントの可能性を調査している。Olympus は、全世界で 31,000人以上の従業員を擁し、100年以上の歴史を持ち、医療/ライフサイエンス/産業機器業界向けに製品開発を行う企業である。

Continue reading “Olympus がサイバー攻撃に遭っている:BlackMatter ランサムウェアの犯行か?”

ランサムウェアが好む企業:地域/規模/業種などを分析する

Ransomware gangs target companies using these criteria

2021/09/06 BleepingComputer — 最近のランサムウェア・ギャングは、ダークウェブのマーケット・プレイスや他の脅威アクターから、標的のネットワークへのアクセス権を購入するケースを増やしている。こうした取引を仲介する広告を分析することで、どのような企業をランサムウェアが攻撃対象としているのかを知ることができる。

Continue reading “ランサムウェアが好む企業:地域/規模/業種などを分析する”

LockFile ランサムウェアは間欠的暗号化で防御ラインを突破する

LockFile Ransomware Bypasses Protection Using Intermittent File Encryption

2021/08/28 TheHackerNews — 先月に出現した新しいランサムウェア・ファミリーは、間欠的暗号化 (intermittent encryption) と呼ばれる新しい技術を利用することで、ランサムウェア対策を回避する独自のトリックを備える。この LockFile と呼ばれるランサムウェアの作者は、ProxyShell や PetitPotam といった、最近の脆弱性を悪用して Windows サーバーを危険にさらしているが、ファイルの 16 Bytes ごとにスクランブルをかけることでランサムウェア防御を回避する、ファイル暗号化マルウェアを展開していることが判明した。

Continue reading “LockFile ランサムウェアは間欠的暗号化で防御ラインを突破する”

Accenture が LockBit 2.0 ランサムウェアに攻撃される

Accenture has been hit by a LockBit 2.0 ransomware attack

2021/08/11 SecurityAffairs — IT & Consulting 大手の Accenture だが、LockBit 2.0 ランサムウェアからの攻撃に遭っている。そして、LockBit 2.0 グループは、あたかも Accenture の内部からの発言を装うかたちで、「この人たちは、プライバシーやセキュリティを超えている。彼らのサービスが、インサイダーである私が見たものよりも、優れたものであことを願っている。もしデータベースの購入に興味があれば、私たちに連絡してほしい」と、リークサイトでアナウンスしている。

Continue reading “Accenture が LockBit 2.0 ランサムウェアに攻撃される”

BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする

Linux version of BlackMatter ransomware targets VMware ESXi servers

2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。

Continue reading “BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする”

RaaS (Ransomware-as-a-Service) のエコシステムを解析する

Why RaaS Has Become Easier to Launch

2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。

Continue reading “RaaS (Ransomware-as-a-Service) のエコシステムを解析する”

DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した

BlackMatter ransomware group claims to be Darkside and REvil succesor

2021/07/28 SecurityAffairs — 今週に活動を開始した BlackMatter は、新しいランサムウェア・ギャングであり、また、Darkside と REvil グループの後継者であると主張している。BlackMatter は、他のランサムウェアと同様に、システムを暗号化する前に被害者から搾取したデータを、公開するリークサイトを開設している。BlackMatter ランサムウェアを最初に発見したのは、Recorded Future の研究者であり、Exploit や XSS といたサイバー犯罪フォーラムに掲載された広告を利用して、このグループがアフィリエイト・ネットワークを構築していると報告している。

Continue reading “DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した”

ファッション・ブランドの Guess がデータ侵害に遭ったと報告

Fashion retailer Guess discloses data breach after ransomware attack

2021/07/12 BleepingComputer — 米国のファッション・ブランドであり小売店も持つ Guess は、2月に発生したランサムウェア攻撃によりデータが窃取されたことで、影響を受けた顧客に対して情報漏えいの通知を行っている。同社は、「2021年2月2日〜2月23日の間に、Guess のシステムに不正なアクセスがあったことを確認した。

Continue reading “ファッション・ブランドの Guess がデータ侵害に遭ったと報告”

米ケミカル Brenntag が DarkSide ランサムウェアに盗まれた情報とは?

US chemical distributor shares info on DarkSide ransomware data theft

2021/07/03 BleepingComputer — 世界有数の化学製品流通企業である Brenntag は、2021年4月下旬に同社の北米部門が狙われた攻撃の際に、DarkSide ランサムウェアにより盗み出されたデータの内容について、追加の情報を公開した。ICIS が発表した世界の化学製品通業 Top-100 レポートによると、Brenntag は北米の売上高で第2位となっている。

Continue reading “米ケミカル Brenntag が DarkSide ランサムウェアに盗まれた情報とは?”

REvil ランサムウェアが開発した Linux Encryptor は VMware ESXi VM を標的にする

REvil ransomware’s new Linux encryptor targets ESXi virtual machines

2021/06/28 BleepingComputer — REvilランサムウェアが、Linux の暗号化ツールを使用することで、Vmware ESXi の仮想マシンをターゲットにし始めている。企業におけるバックアップ/デバイス管理/リソース使用の効率化などために、仮想マシンへの移行が進んでいることから、仮想マシン上のストレージを暗号化する独自のツールを、ランサムウェア・ギャングが作成するケースが増えている。

Continue reading “REvil ランサムウェアが開発した Linux Encryptor は VMware ESXi VM を標的にする”

LockBit ランサムウェアがアフェリエイトを募集しているそうだ

Ransomware gangs now creating websites to recruit affiliates

2021/06/28 BleepingComputer — ロシア語圏の2つの著名なサイバー犯罪フォーラムが、ランサムウェア関連のトピックを禁止して以来、犯罪組織は代替手段でサービスを宣伝することを余儀なくされている。攻撃を実行するためのハッカーを必要としている、少なくとも2つのランサムウェア・ギャングは、自分たちのサイトで暗号化ツールの機能を宣伝し、新入社員を集めている。

Continue reading “LockBit ランサムウェアがアフェリエイトを募集しているそうだ”

クリティカルなインフラに欠落しているクリティカルな何かとは?

Critical Infrastructure is Missing Something Critical

2021/06/22 SecurityBoulevard — 今回の Colonial Pipeline への攻撃は、重要インフラが強固なセキュリティを必要としていることを、改めて認識させるものだった。この攻撃は、重要インフラへのサイバー攻撃による最近の被害例の一つだが、この現象は新しいものではなく、また米国に限ったものでもない。あらゆる国々の安全を保障する、重要インフラは不可欠なものであり、特に国家が関与する行為者やテロリスト・グループの主たる標的となり得る。

Continue reading “クリティカルなインフラに欠落しているクリティカルな何かとは?”

監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織 である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

Continue reading “監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?”

G7 からロシアへの要求:自国内のランサムウェア・ギャングを捕まえてくれ

G7 leaders ask Russia to hunt down ransomware gangs within its borders

2021/06/14 BleepingComputer — 重要な組織を標的としたサイバー攻撃が、グローバル規模で相次いでいることを背景として、G7 (Group of 7) 首脳はロシアに対して、同国内で活動していると思われるランサムウェア・ギャングを早急に排除するよう要請した。また、G7 加盟国は、エスカレートするランサムウェアの脅威に関して、世界的な課題として協力して取り組むことを表明した。

Continue reading “G7 からロシアへの要求:自国内のランサムウェア・ギャングを捕まえてくれ”

Conti ランサムウェアはヘルスケア機関を標的にすると FBI が警告

FBI Issues Conti Ransomware Alert as Attacks Target Healthcare

2021/05/21 DarkReading — 米国の医療機関や救急隊員のネットワークを標的とした、ランサムウェア Conti による攻撃が、少なくとも 16件確認されたという発表があった。FBI が発した警告は、法執行機関/救急医療サービス/911 ディスパッチセンター/自治体などを標的とした Conti 攻撃が、この 1年間に少なくとも 16件が確認されたことを受けてのものだ。

Continue reading “Conti ランサムウェアはヘルスケア機関を標的にすると FBI が警告”

ランサムウェア・ギャング DarkSide は 9ヶ月で $90 Million を稼ぎ出している

DarkSide Ransomware Gang Extorted $90 Million from Several Victims in 9 Months

2021/05/19 TheHackerNews — 先日に発生した Colonial Pipeline ランサムウェア攻撃の背後にいる DarkSide は、この9ヶ月の間にランサムウェアを乱発し、$90 million のビットコイン支払いを受け、最も収益性の高いサイバー犯罪グループとなった。ブロックチェーンを分析する Elliptic は、「合計で $90 million 強のビットコイン身代金が、 47 のウォレットから DarkSide 支払われた」と述べている。

Continue reading “ランサムウェア・ギャング DarkSide は 9ヶ月で $90 Million を稼ぎ出している”

東芝の欧州子会社が DarkSide ランサムウェアに攻撃される

DarkSide Ransomware Hits Toshiba Tec Group

2021/05/14 SecurityWeek — Colonial Pipeline を操業停止へと追い込んだ、ランサムウェア DarkSide の脅威が拡大している。昨日は、ドイツの化学製品流通大手の Brenntag が、DarkSide のオペレーターに $4.4 million の身代金を支払ったことが報じられていた。

Continue reading “東芝の欧州子会社が DarkSide ランサムウェアに攻撃される”

ケミカル流通大手の Brenntag がランサムウェア攻撃に $4.4 million を支払った

Chemical distributor pays $4.4 million to DarkSide ransomware

2012/05/13 BeepingComputer — 化学製品の流通を行う Brenntag は、暗号化されたファイルの復号化ツールを受け取ために、また、盗まれたデータの公表を防ぐために、ランサムウェア・ギャングである DarkSide 対して、身代金 $4.4 million を Bitcoinで支払った。ドイツに本社を置く Brenntag は、世界有数の化学製品流通企業であり、世界の 670以上の拠点で 17,000人以上の従業員を抱えている。

Continue reading “ケミカル流通大手の Brenntag がランサムウェア攻撃に $4.4 million を支払った”

Colonial Pipeline ハッキングにより給油パニックが発生した

Panic buying in US as petrol pumps run dry after Colonial Pipeline hack

2021/05/12 SCMP — 米国最大の燃料パイプラインの閉鎖が5日目に入ったことで、フロリダ州からバージニア州でガソリン価格が上昇し、また、ガソリン・スタンドのタンクが空になり、ドライバーたちがパニック状態に陥っている。

Continue reading “Colonial Pipeline ハッキングにより給油パニックが発生した”

米国最大の Colonial Pipeline がランサムウェア攻撃により停止

Largest U.S. pipeline shuts down operations after ransomware attack

2021/05/08 BleepingComputer — 米国最大の燃料パイプライン企業である Colonial Pipeline が、ランサムウェアと思われる攻撃を受け、業務を停止している。Colonial Pipeline は、メキシコ湾岸にある製油所と米国の南部/東部の市場を結び、石油精製品を輸送している企業である。

Continue reading “米国最大の Colonial Pipeline がランサムウェア攻撃により停止”