Two people wearing purge masks in front of cars

今週は、Cactus と Akira という名前の企業をターゲットにした新しいランサムウェア ファミリに関する複数のレポートがあり、どちらも企業をターゲットにして活動がますます活発になっています。

Cactus の作戦は 3 月に開始され、VPN の脆弱性を悪用して企業ネットワークにアクセスすることが判明しました。

暗号化プログラムでは、マルウェアが使用する構成ファイルを復号化するためにコマンド ラインで暗号化キーを渡す必要があります。適切な構成キーが渡されない場合、暗号化プログラムは終了し、何も暗号化されません。

この方法は、セキュリティ研究者やウイルス対策ソフトウェアによる検出を回避するためのものです。

また、Akira ランサムウェアについても報告しました。これは 3 月に開始された新しい作戦で、データ漏洩サイトにすぐに 16 人の被害者を集めました。

Akira の作戦では、Linux シェルを使用しているかのようにコマンドを入力する必要がある、レトロな外観のデータ漏洩サイトが使用されています。

アキラのデータ漏洩サイト
アキラのデータ漏洩サイト
ソース:

また、新しい攻撃と以前の攻撃における重要な開発者についても学びました。

5 月 7 日、多国籍オートメーション企業ABB は Black Basta ランサムウェア攻撃を受け、ネットワークと工場を混乱させました。

ABB は、エネルギー供給会社や製造業向けに多数の SCADA および産業用制御システム (ICS) を開発しており、データが盗まれたかどうか、またその内容について懸念が生じています。

先週には、Money Message ランサムウェアの作戦により、 Intel Boot Guard の秘密キーが含まれていたMSI に属するソース コードが公開されたというニュースも発表されました。

Binarly は、これらの漏洩したキーが、MSI デバイス上の Intel Boot Guard をバイパスできる UEFI マルウェアのデジタル署名に使用される可能性があると警告しました

最後に、研究者と法執行機関は新しいレポートを発表しました。

今週、新しいランサムウェア情報やストーリーを提供した寄稿者および参加者は次のとおりです。@PolarToffee@malwrhunterteam@Ionut_Ilascu@demonslay335@シャギーゲル@マルウェアフォーム@BleepinComputer@billtoulas@FourOctets@セルゲイ@VK_インテル@fwosar@ローレンス・エイブラムス@セイフリード@jorntvdw@ダニエル・ギャラガー@LabsSentinel@BrettCallow@マトロソフ@binarly_io@Checkmarx@KrollWire@yinzlovecyber、 と@pcrisk

2023 年 5 月 7 日

アキラの紹介 — 企業をターゲットにした新たなランサムウェア作戦

新しい Akira ランサムウェアの作戦は、世界中の企業ネットワークに侵入し、ファイルを暗号化し、数百万ドルの身代金を要求する被害者のリストを徐々に構築しています。

新しい Cactus ランサムウェアは自身を暗号化してウイルス対策を回避します

Cactus と呼ばれる新たなランサムウェア活動は、VPN アプライアンスの脆弱性を悪用して、「大規模な商業団体」のネットワークに最初にアクセスします。

新しい STOP ランサムウェアの亜種

PCrisk は、 .qore拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。

2023 年 5 月 8 日

Intel、MSI侵害後のIntel Boot Guard秘密キーの漏洩を調査

Intel は、Intel Boot Guard セキュリティ機能で使用される秘密キーの漏洩の疑いについて調査を行っており、MSI デバイスへの悪意のある UEFI ファームウェアのインストールをブロックする機能に影響を与える可能性があります。

2023 年 5 月 9 日

新しい GlobeImposter ランサムウェアの亜種

PCrisk は、拡張子.Sufferingを付加し、 how_to_back_files.htmlという名前の身代金メモを投下する、新しい GlobeImposter ランサムウェアの亜種を発見しました。

新しい Solix ランサムウェア

PCrisk は、 .Solix拡張子を付加する新しいランサムウェアの亜種を発見しました。

新しい MedusaLocker ランサムウェア

PCrisk は、 .newlocker拡張子を追加し、 HOW_TO_RECOVER_DATA.htmlという名前の身代金メモを投下する新しいランサムウェアの亜種を発見しました。

新しい BrightNite ランサムウェア

PCrisk は、 .BrightNight拡張子を追加し、 README.txtという名前の身代金メモを投下する新しいランサムウェアの亜種を発見しました。

新しい STOP ランサムウェアの亜種

PCrisk は、 .gash拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。

2023 年 5 月 10 日

新しいランサムウェア復号ツールは、部分的に暗号化されたファイルからデータを回復します

新しい「White Phoenix」ランサムウェア復号ツールを使用すると、被害者は断続的な暗号化を使用するランサムウェア株によって暗号化されたファイルを部分的に回復できます。

新しい Xorist ランサムウェアの亜種

PCrisk は、 .SIGSCH拡張子を付加し、 README_SIGSCH.txtという名前の身代金メモを投下する新しい Xorist ランサムウェアの亜種を発見しました。

新しい Army Signal ランサムウェア

PCrisk は、拡張子.zipp3rsを付加する Xorist ランサムウェアの新しい亜種を発見しました。

2023 年 5 月 11 日

VMWare ESXi サーバーの暗号化に 9 つのランサムウェア集団が使用した Babuk コード

漏洩した Babuk ランサムウェア ソース コードを利用して、VMware ESXi サーバーをターゲットとする Linux 暗号化プログラムを作成するランサムウェア操作が増加しています。

多国籍テクノロジー企業ABBがBlack Bastaランサムウェア攻撃に見舞われた

電化および自動化技術の大手プロバイダーであるスイスの多国籍企業 ABB は、Black Basta ランサムウェア攻撃を受け、事業運営に影響を与えたと伝えられています。

新しい STOP ランサムウェアの亜種

PCrisk は、 .gatz拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。

2023 年 5 月 12 日

FBI:Bl00dy ランサムウェアは教育機関を標的とした PaperCut 攻撃を実施

FBI と CISA は共同勧告を発行し、Bl00dy ランサムウェア ギャングが現在、ネットワークへの初期アクセスを取得するために PaperCut のリモート コード実行の脆弱性を積極的に悪用していると警告しました。

今週はここまでです!皆さんも素敵な週末をお過ごしください!