今週は、BreachForumsのデータ盗難フォーラムが押収されたことが注目され、ランサムウェアの面ではかなり静かだった。
しかし、だからといって、ランサムウェアに関して今週発表された興味深い情報が何もなかったわけではない。
CISAのレポートによると、Black Bastaというランサムウェアの侵入グループは、2022年4月に活動を開始して以来、全世界で500以上の組織に侵入しているという。
Contiが大規模なデータ漏洩に見舞われた後、ランサムウェアの活動は停止し、メンバーは別のグループに分裂したり、独自のランサムウェア活動を開始したりした。
そのひとつがBlack Bastaで、Contiの先代メンバーで構成され、公のランサムウェア・アズ・ア・サービスとしてではなく、私的なグループとして運営されていると考えられている。
CISAがこの報告書を発表したのは、Black Bastaのランサムウェア攻撃によってAscension Healthcareに大規模な混乱が生じたというニュースの後だと広く信じられている。
その他のニュースでは、比較的新しいInc Ransomwareが、そのソースコードを300,000ドルで販売しようとしていた。しかし、このグループが古い未使用のコードを売ろうとしていたのか、それとも活動を停止しようとしていたのかは不明である。
Phorpiexボットネットは、LockBit Blackランサムウェア攻撃につながる何百万もの電子メールを送信しており、暗号化装置はLockBitの流出したソースコードを使用して作成されたと考えられている。
BlackBastaはまた、標的組織の従業員の電子メールアドレスをさまざまなサブスクリプション・サービスに登録することで、メールボムを送信していたことも判明している。その後、ターゲットに会社のITサポートとして接触し、ソーシャル・エンジニアリング攻撃を行い、被害者のコンピュータにアクセスさせた。
最後に、オーストラリアの電子処方箋プロバイダーであるMediSecureは、「大規模」なランサムウェアによるデータ侵害に見舞われた後、ITシステムと電話をシャットダウンした。
今週、新たなランサムウェア情報やストーリーを提供した投稿者や関係者は以下の通り:serghei、@BleepinComputer、@billtoulas、@fwosar、@demonslay335 、@Ionut_Ilascu、@Seifreed、@LawrenceAbrams、@malwrhunterteam、@rapid7 、@MsftSecIntel、@3xp0rtblog、Intel_by_KELA、@NJCybersecurity、@proofpoint、@troyhunt、@CISAgov、@FBI、@AhnLab_SecuInfo、@briankrebs、@NCSC、@sekoia_io、@JakubKroustek、@pcrisk。
2024年5月11日
CISA:Black Basta ランサムウェアが世界の 500 以上の組織に侵入
CISA と FBI は本日、Black Basta ランサムウェアの関連会社が 2022 年 4 月から 2024 年 5 月にかけて 500 以上の組織に侵入したと発表した。
2024年5月12日
オーストラリア最大のノンバンク金融機関がデータ漏洩を警告
Firstmac Limitedは、新しいEmbargoサイバー恐喝グループが同社から盗まれたとされる500GB以上のデータを流出させた翌日、データ漏洩に見舞われたと顧客に警告している。
新しいSTOPランサムウェアの亜種
Jakub Kroustekは、拡張子.paaaを付加する新しいSTOPランサムウェアの亜種を発見しました。
2024年5月13日
ボットネット、LockBit Black ランサムウェアキャンペーンで数百万通のメールを送信
4月以来、大規模なLockBit Blackランサムウェアキャンペーンを実施するために、Phorpiexボットネットを通じて数百万通のフィッシングメールが送信されています。
INCランサムウェアのソースコードがハッキング・フォーラムで30万ドルで販売される
salfetka」という名前を使用するサイバー犯罪者が、2023年8月に開始されたランサムウェア・アズ・ア・サービス(RaaS)であるINC Ransomのソースコードを販売していると主張しています。
Malloxの関連会社がMS-SQLの悪用キャンペーンでPureCrypterを活用
最近、私たちのチームは、MS-SQL(Microsoft SQL)ハニーポットが関与するインシデントを観測しました。このハニーポットは、ブルートフォース戦術を活用する侵入セットによって狙われており、いくつかのMS-SQL悪用テクニックを通じてPureCrypter経由でMalloxランサムウェアを展開することを目的としていました。
当局はどのようにして疑惑のLockbitボスを特定したのか?
先週、米国は英国およびオーストラリアとともに、ドミトリー・ユリエヴィチ・ホロシェフというロシア人男性を悪名高いランサムウェア・グループLockBitのリーダーとして制裁・告発しました。LockBitのリーダーである “LockBitSupp“は、FBIが間違った人物を名指ししたと主張しており、告発は彼とホロシェフとの関係を説明していないと述べている。この投稿では、サイバー犯罪フォーラムにおけるホロシェフの多くの分身の活動を検証し、過去14年間悪質なコードを書いて販売してきた才能あるマルウェア作者のキャリアを追跡する。
著作権侵害関連の資料として配布されるマルウェア(Beast Ransomware、Vidar Infostealer)
最近の著作権侵害に関する警告に基づき、新たなマルウェアの配布が確認されたため、ここで取り上げます。
新しいSTOPランサムウェアの亜種
Jakub Kroustekは、拡張子.vehuを付加する新しいSTOPランサムウェアの亜種を発見しました。
新しいSTOPランサムウェアの亜種
PCriskは、.vepi拡張子を追加する新しいSTOPランサムウェアの亜種を発見しました。
新しいランサムウェアの亜種
PCriskは、.capibara拡張子を追加し、READ_ME_USER.txtというランサムノートをドロップする新しいSTOPランサムウェアの亜種を発見しました。
2024年5月14日
サイバー保険業界が一丸となって身代金支払いを取り締まる
NCSCは、英国保険会社協会(ABI)、英国保険ブローカー協会(BIBA)、国際保険引受協会(IUA)と共同で、ランサムウェアの要求に直面した組織の混乱とインシデントのコストを最小限に抑えるためのガイダンスを発表した。
ランサムウェアインシデントにおける支払いを検討する組織のためのガイダンス
このガイダンスは、保険業界団体ABI、BIBA、IUAおよびNCSCが共同で作成した。このガイダンスは、ランサムウェア攻撃を受けた組織と、その組織を支援するパートナー組織を対象としています。
2024年5月15日
北米日産のデータ流出、53,000人以上の従業員に影響
北米日産(Nissan North America)は昨年、同社の外部VPNを標的とした脅威者によるデータ侵害に見舞われ、身代金を受け取るためにシステムをシャットダウンしました。
Windows Quick AssistがBlack Bastaランサムウェア攻撃で悪用される
金銭的な動機に基づくサイバー犯罪者が、ソーシャルエンジニアリング攻撃でWindowsクイックアシスト機能を悪用し、被害者のネットワーク上にBlack Bastaランサムウェアのペイロードを展開しています。
トルネード・キャッシュの暗号解読者、20億ドルの資金洗浄で64ヶ月の刑を受ける
暗号通貨タンブラー「トルネード・キャッシュ」の主要開発者の1人であるアレクセイ・ペルツェフが、20億ドル相当以上の暗号通貨の資金洗浄に関与したとして、64カ月の実刑判決を言い渡された。
2024年5月16日
メディセキュア電子処方箋会社が「大規模な」ランサムウェアのデータ侵害に見舞われる
オーストラリアの電子処方箋プロバイダーMediSecureは、サードパーティー・ベンダーから発信されたと思われるランサムウェア攻撃を受け、ウェブサイトと電話回線を閉鎖した。
Comments