今週は、MOVEit Transfer データ窃盗攻撃をめぐる余波が大半を占め、Clop ランサムウェア ギャングが彼らの背後にいることが確認されました。
月曜日、Microsoft は最初に攻撃の原因が Clop ランサムウェア オペレーションであると発表し、続いて攻撃者が 5 月 27 日にサーバーの悪用を開始したと発表しました。
クロールのセキュリティ専門家は、過去のテレメトリを分析した結果、クロップ一味が2021 年以来、限定的な攻撃で MOVEit Transfer のゼロデイ テストを行った可能性が高いことも発見しました。
予想通り、私たちは攻撃による余波を目にし始めたばかりであり、被害者が発表やデータ侵害の通知を行っています。
これまでに MOVEit Transfer 侵害を明らかにした企業は以下のとおりです。
- Zellis – 彼らの侵害は、BBC、エアリンガス、ブーツ、ブリティッシュ・エアウェイズを含む 8 社にも影響を与えました。
- ロチェスター大学
- ノバスコシア州政府
- エクストリームネットワークス
- 米国イリノイ州
- ミネソタ州教育省 (MDE)
別のニュースとして、 Royal Ransomware ギャングが限定的な攻撃で新しい BlackSuit 暗号化ツールのテストを開始したとのことです。これは独自の暗号化装置、Tor 交渉サイト、データ漏洩サイトを備えた自己完結型のランサムウェア活動であるため、彼らが将来的に BlackSuit をどのように使用する予定であるかは不明です。
今週発表された他の調査は、 CyclopsとXollamと呼ばれる新しいランサムウェア亜種に関するものです。
チリ軍に対するリシダのランサムウェア攻撃に関して興味深い展開があり、 陸軍伍長が関与の疑いで逮捕された。
また、ALPHV の恐喝要求に屈することを拒否した日本の製薬会社エーザイとオーストラリア最大の商事法律事務所 HWL エブスワースに対する攻撃も目撃されました。
最後に、CERT Orange Cyberdefense の脅威インテリジェンス研究者Marine Pichonが作成したランサムウェア活動の優れたマップを共有しなかったのは不注意です。
今週、新しいランサムウェア情報やストーリーを提供した寄稿者および参加者は次のとおりです。@セルゲイ、@ローレンス・エイブラムス、@malwrhunterteam、@BleepinComputer、@demonslay335、@ダニエル・ギャラガー、@fwosar、@billtoulas、@KrollWire、@Mar_Pich、@RedSenseIntel、@CISAgov、@FBI、@MsftSecIntel、@pcrisk、@トレンドマイクロ、@PogoWright、@catabatarce、@gossidog、@BrettCallow、 と@uptycs。
2023 年 6 月 4 日
CISA は政府機関に対し、データ盗難に使用された MOVEit のバグにパッチを適用するよう命令
CISAは、Progress MOVEit Transferマネージドファイル転送(MFT)ソリューションで悪用されているセキュリティバグを既知の悪用された脆弱性のリストに追加し、米国連邦政府機関に対し6月23日までにシステムにパッチを適用するよう命じた。
Rhysida ランサムウェア グループがマルティニーク島への攻撃を主張
DataBreaches は、Rhysida ランサムウェア グループによって漏洩したすべてのファイルを調査したわけではありませんが、ファイル リストのごく一部のスクリーン キャップが示すように、それらは政府関連のファイルであるようです。漏洩しているファイルの種類について簡単な概要を提供することが多い他のグループとは異なり、Rhysida はデータ漏洩の規模やその内容に関する情報を提供していません。
2023 年 6 月 5 日
Microsoft は、Clop ランサムウェア ギャングを MOVEit データ窃盗攻撃に結び付ける
Microsoft は、MOVEit Transfer プラットフォームのゼロデイ脆弱性を悪用して組織からデータを盗む最近の攻撃に、Clop ランサムウェア ギャングを関連付けています。
Clop ランサムウェア、MOVEit 恐喝攻撃の犯行声明
Clop ランサムウェア集団は、MOVEit Transfer データ盗難攻撃の背後にいると発表しました。この攻撃では、ゼロデイ脆弱性が悪用されて「数百の企業」に属するサーバーに侵入し、データが盗まれました。
軍事ハッカー: PDI、軍事機関の内部ネットワークへのサイバー攻撃で陸軍伍長を拘束
編集者注: これは、チリ軍に対する Rhysida ランサムウェア攻撃に関連しています。
事件関係者によると、兵士から一連の電子機器が押収され、現在刑事が調べているという。彼はコンピュータ犯罪法違反の罪で起訴され、その後予防拘留されていた。
Cyclops ランサムウェアとスティーラーのコンボ: 二重の脅威を探る
Cyclops グループは、Windows、Linux、macOS の 3 つの主要プラットフォームすべてに感染できるランサムウェアを作成したことを特に誇りに思っています。前例のない動きとして、感染したコンピュータ名や多数のプロセスなどの機密データを盗むことを目的とした別のバイナリも共有しました。後者は、Windows と Linux の両方の特定のファイルを対象としています。
新しい Dharma ランサムウェアの亜種
PCrisk は、 .NBRおよび.thx拡張子を付加する新しい Dharma ランサムウェアの亜種を発見しました。
新しい STOP ランサムウェアの亜種
PCrisk は、 .nerz 、 .neon 、および.neqp拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。
2023 年 6 月 6 日
Xollam、TargetCompany の最新の顔
TargetCompany ランサムウェア ファミリは、2021 年 6 月に最初に検出された後、暗号化アルゴリズムの変更や復号化機能の異なる特性など、ランサムウェア ファミリの主要な更新を示すいくつかの名前変更を受けました。
2023 年 6 月 7 日
CL0P ランサムウェア ギャングが CVE-2023-34362 MOVEit の脆弱性を悪用
オープンソース情報によると、2023 年 5 月 27 日以降、TA505 としても知られる CL0P ランサムウェア ギャングが、MOVEit として知られる Progress Software のマネージド ファイル転送 (MFT) ソリューションにあるこれまで知られていなかった SQL インジェクションの脆弱性 ( CVE-2023-34362 ) を悪用し始めました。移行。
2023 年 6 月 8 日
ロイヤル ランサムウェア ギャングが BlackSuit 暗号化ツールを武器庫に追加
Royal ランサムウェア ギャングは、BlackSuit と呼ばれる新しい暗号化ツールのテストを開始しました。これは、この作戦の通常の暗号化ツールと多くの類似点があります。
Clop ランサムウェアは 2021 年以降、MOVEit をゼロデイでテストしている可能性があります
Kroll のセキュリティ専門家によると、Clop ランサムウェア ギャングは、2021 年以来、MOVEit Transfer マネージド ファイル転送 (MFT) ソリューションのパッチが適用されたゼロデイを悪用する方法を探してきました。
ランサムウェアのエコシステムとその進化を示す驚くべき地図
Marine Pichon は、ランサムウェアの活動とその関連グループを示す、驚くべき、おそらく骨の折れる地図を作成しました。一見の価値は十分にあります。
日本の製薬大手エーザイがランサムウェア攻撃を公開
製薬会社エーザイは、同社の業務に影響を及ぼしたランサムウェア事件の被害を受けたことを明らかにし、攻撃者が同社のサーバーの一部を暗号化していたことを認めた。
新しいダルマの変種
PCrisk は、. を追加する新しい Dharma ランサムウェアの亜種を発見しました。モノラル拡張子。
2023 年 6 月 9 日
BlackCat ランサムウェア、オーストラリアの商法大手企業からの恐喝に失敗
オーストラリアの法律事務所HWLエブスワースは、ALPHVランサムウェア集団が同社から盗んだと主張するデータを漏洩し始めた後、同社のネットワークがハッキングされたことを地元メディアに認めた。
マンチェスター大学、ハッカーがサイバー攻撃でデータを盗んだ可能性があると発表
マンチェスター大学は、職員と学生に対し、サイバー攻撃を受け、攻撃者が大学のネットワークからデータを盗んだ可能性があると警告しています。
Comments