Ransomware attacks now target unpatched WS_FTP servers
2023/10/12 BleepingComputer — インターネットに公開された WS_FTP サーバの、パッチ未適用の深刻度の高い脆弱性 CVE-2023-40044 が 、ランサムウェア攻撃の標的になっている。 先日に Sophos X-Ops のインシデント・レスポンダーたちが観測したのは、Reichsadler Cybercrime Group を自称する脅威アクターが、ランサムウェアのペイロードを展開しようと試み、失敗に終わったことだ。そこで用いられたのは、2022年9月に盗まれた LockBit 3.0 builder だとされる。同社は、「このランサムウェアの実行者が、最近に報告された WS_FTP Server ソフトウェアの脆弱性を悪用するまでに、長い時間は不要であった」と述べている。
Continue reading “WS_FTP Server の脆弱性 CVE-2023-40044:ランサムウェア攻撃が始まっている”900 US Schools Impacted by MOVEit Hack at National Student Clearinghouse
2023/09/25 securityweek — 北米の大学に対して、報告/検証/調査のサービスを提供する教育非営利団体 National Student Clearinghouse が明らかにしたのは、約 900もの大学が MOVEit ハッキングの影響を受けているという現状である。今年のはじめに、このランサムウェア・グループは、マネージド・ファイル転送ソフトウェア MOVEit のゼロデイ脆弱性を悪用し、数千の組織と数百万の個人の情報に不正アクセスした。MOVEit へのハッキングにより、直接的/間接的に影響を受けた組織を追跡している Emsisoft によると、被害者の総数は 9月22日時点で 2053件に達し、影響を受けた個人の人数は 5700万人を超えるという。
Continue reading “米国の National Student Clearinghous で MOVEit ハッキング:900 の大学の情報が流出”BlackCat ransomware hits Azure Storage with Sphynx encryptor
2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP:One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。
Continue reading “BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃”Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。
Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”Cybersecurity Companies Report Surge in Ransomware Attacks
2023/08/23 SecurityWeek — いくつかのサイバー・セキュリティ企業が、この数週間において、それぞれのランサムウェア・レポートを発表しているが、その大半において攻撃の大幅な増加が示されている。ランサムウェア攻撃は、サイバー犯罪グループに大きな利益をもたらし続けているが、サイバー・セキュリティ企業の最新したレポートによると、その量と巧妙さの両方が増加しているという。そこで SecurityWeek では、一連のレポートを分析し、最も重視すべき傾向を要約してみた。
Continue reading “ランサムウェア攻撃の統計値:各セキュリティ企業のレポートを比較してみた”MOVEit Hack: Number of Impacted Organizations Exceeds 340
2023/07/17 SecurityWeek — Clop グループが仕掛ける MOVEit 攻撃により、影響を受けた組織の数は 340 に達し、1800万人を超える被害者を生み出したと報じられている。サイバー・セキュリティ企業 Emsisoft の脅威アナリストであり、このキャンペーンを監視している Brett Callow は、現時点において米国内の 58 の教育機関を含む、347 の組織が影響を受けていると述べた。この中には、先週に学生と従業員のデータが盗まれた可能性のある、コロラド州立大学も含まれている。
Continue reading “MOVEit ハッキング:340 の組織と 1800万人を超える個人が侵害された – Emsisoft”Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group
2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank/ING Bank/Post Bank) や 25 の米国の学校などだ。
Continue reading “MOVEit の脆弱性 CVE-2023-34362:Clop ランサムウェア攻撃が 257社に達した”Dark Web Data Leak Exposes RaidForums Members
2023/05/30 InfoSecurity — あるハッキング・サイトの主要データベースが公開された後に、もうひとつのサイバー犯罪フォーラムの、約 50 万人のメンバーの詳細が公開された。RaidForums のユーザーデータ 47万8000 人分が、売出し中のフォーラム Exposed で流出させられたというニュースを、VX-Underground のサイバー・セキュリティ研究者たちが確認している。彼らは、「RaidForums のデータベース流出の原因について、Exposed の管理スタッフは何も教えてくれない」とツイートしている。
Continue reading “RaidForums フォーラムから 50万人分のハッカー情報がリーク:同業者 Exposes の仕業?”Ransomware impacts over 200 govt, edu, healthcare orgs in 2022
2023/01/02 BleepingComputer — 2022年のランサムウェア攻撃は、米国の政府/教育/医療などのパブリックな分野における、200以上の大規模組織に影響を与えた。情報源としての、公開レポート/開示ドキュメント/ダークウェブ・リーク/サードパーティなどから収集したデータによると、これらのランサムウェア攻撃の約半分において、ハッカーたちはデータを盗み出していたことが判明した。
Continue reading “2022年のランサムウェア攻撃:米国での被害は政府/教育/医療など 200件”Adobe Acrobat may block antivirus tools from monitoring PDF files
2022/06/21 BleepingComputer — セキュリティ研究者たちは、Adobe Acrobat がアンチウィルス・ソフトウェアをブロックし、PDF ファイルをオープンする際の、セキュリティ的な可視化を拒否していることを発見し、ユーザーにリスクを生じさせることを明らかにした。Adobe の製品は、30 種類のセキュリティ製品のコンポーネントの、プロセスへのロードの有無をチェックしており、また、それらをブロックすることで、悪意のアクティビティ監視を本質的に拒否している。
Continue reading “Adobe Acrobat の問題:アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック?”Ransomware gang publishes stolen victim data on the public Internet
2022/06/15 HelpNetSecurity — BlackCat (Alphv) ランサムウェア・グループは、被害者の組織から盗み出した従業員や顧客の機密データをクリアネット (パブリック・インターネット) サイトに掲載し、侵入後に沈黙を守る企業に対して支払いを迫るという新しい戦術を試みている。また、以前のランサムウェア・ギャングと同様に、漏洩した情報を用いて被害者である個人とダイレクトに連絡を取り、「オンライン検索が可能な誰もが、対象となる個人情報/財務情報/医療情報などが入手できる」と、通知しているものと思われる。
Continue reading “BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった”Conti ransomware group announces support of Russia, threatens retaliatory attacks
2022/02/25 CyberScoop — ロシア情報機関とのつながりを疑われ、医療機関などの多数の標的を攻撃することで知られる、悪名高いランサムウェア Conti は、金曜日に「ロシア政府を全面的に支持することを公式に発表する」という警告を掲載した。
Continue reading “Conti ランサムウェア:ロシア政府のウクライナ侵攻を全面的に支持すると表明”Hive ransomware now encrypts Linux and FreeBSD systems
2021/10/29 BleepingComputer — ランサムウェア Hive は、Linux や FreeBSD をターゲットに開発された新種のマルウェアを用いて、これらのプラットフォームも暗号化してしまう。しかし、スロバキアのインターネット・セキュリティ企業 ESET が発見したように、Hive の新しい暗号化ツールは開発中であり、機能が不足している。
Continue reading “Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加”Babuk ransomware decryptor released to recover files for free
2021/10/27 BleepingComputer — チェコのサイバーセキュリティ・ソフトウェア企業である Avast は、Babuk ランサムウェアの被害者に対して、ファイルを復元する復号ツールを作成し、無料で公開した。Avast Threat Labs によると、Babuk の復号ツールは、流出したソースコードと復号キーを使用して作成されたとのことだ。
Continue reading “Babuk ランサムウェアの復号ツールが無償でリークされた”Babuk ransomware’s full source code leaked on hacker forum
2021/09/03 BleepingComputer — ある脅威アクターが、ロシア語ハッキング・フォーラムで、ランサムウェア Babuk の完全なソースコードをリークした。Babuk Locker は、Babyk とも呼ばれているが、2021年の初めに企業をターゲットにしてデータを盗み出し暗号化するという、二重窃取の手法を用いるランサムウェアである。
Continue reading “Babuk ランサムウェアの全ソースコードがハッカー・フォーラムにリーク!”Linux version of BlackMatter ransomware targets VMware ESXi servers
2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。
Continue reading “BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする”Kaseya denies ransomware payment as it hails ‘100% effective’ decryption tool
2021/07/27 DailySwig — Kaseya は、一連のランサムウェア攻撃の被害者に対して、復号化ツールを提供し続けているが、サイバー犯罪組織 REvil に身代金を支払ったという噂を否定した。7月2日に始まった、このソフトウェア・サプライチェーン攻撃は、IT マネジメント・プラットフォームである Kaseya VSA のハッキングを介して、最大で 1,500とも言われる組織に影響を与えたと考えられる。7月22日に Kaseya は、サードパーティから復号化ツールを入手し、アンチ・マルウェアの専門家である Emsisoft の協力を得て、影響を受けた組織の環境を復旧していることを明らかにした。
Continue reading “Kaseya はランサム支払いを否定:完全な復号化ツールを提供と言うが?”Avaddon ransomware gang shuts down their operations and releases decryption keys
2021/06/11 SecurityAffairs — ランサムウェア Avaddon の被害者にとって朗報だ。このサイバー犯罪グループが、その活動を停止し、解読キーを BleepingComputer に提供した。このグループは、サーバーを停止し、ハッキング・フォーラムのプロフィールを削除し、リーク・サイトも閉鎖している。
Continue reading “Avaddon ランサムウェアが活動を停止し復号キーを配布”New Evil Corp ransomware mimics PayloadBin gang to evade US sanctions
2021/06/06 BleepingComputer — 新種のランサムウェアである PayloadBIN だが、US Treasury Department’s Office of Foreign Assets Control (OFAC) の制裁を逃れるためにブランド名を変更した、サイバー犯罪組織 Evil Corp が作成したものだとされる。
Continue reading “Evil Corp の新種ランサムウェアは米当局の制裁をかわすために PayloadBin と名乗る”Conti ransomware gives HSE Ireland free decryptor, still selling data
2021/05/20 BleepingComputer — ランサムウェア・ギャングである Conti は、アイルランドの医療サービスである HSE に対して、復号キーを無償でリリースしたが、盗み出したデータの公開と販売については、実行すると脅迫している。
Continue reading “ランサムウェア・ギャングの Conti が気前よく復号キーを渡したらしいけど”
IoT OT Security News 