今週のランサムウェア週間では、先週取り上げられなかった過去 2 週間のニュースを取り上げ、Avaddon ランサムウェア ギャングの復活など、かなりの量の新情報が含まれています。
先月、NoEscape (または No_Escape) という名前の新しいランサムウェア オペレーションが開始され、すぐに新たな企業の被害者が増え始めました。
作戦の暗号化装置が分析された後、 NoEscape が法執行機関の攻撃を感じて 2020 年 6 月に作戦を停止した Avaddon のリブランドであることがすぐに明らかになりました。
しかし、ギャングは実際に引退したわけではなく、おそらく以前は他の作戦で働いていた可能性があり、新しいNoEscape作戦として復帰できるまで時間を待っていたようです。
ランサムウェアの専門家マイケル・ガレスピー氏によると、このギャングはアバドンとは何の関係もないと主張しているが、彼らの暗号化プログラムは以前の作戦のランサムウェアと非常によく似ているという。
これには、Avaddon によってのみ使用される独自の暗号化チャンキング ルーチン、コードの類似性、 同じ構成ファイル形式、およびその他の多くのルーチンが含まれます。唯一の重要な変更は、AES 暗号化から Salsa20 への切り替えでした。
法執行機関は、10年間にわたる捜索の末にウクライナのスケアウェア開発者を逮捕し、恐喝計画でランサムウェアギャングになりすました罪でIT従業員に3年以上の懲役刑を宣告するなど、多忙を極めている。
サイバーセキュリティ企業からの他のランサムウェア報告書には次のようなものがあります。
- 新しいSophosEncrypt ランサムウェアがソフォスになりすます
- FIN8 攻撃者がSardonic マルウェアを使用して ALPHV ランサムウェアを展開していることが確認されました
- 新しいBig Head ランサムウェアは偽の Windows 更新アラートを表示します
最後に、MOVEit Transfer ゼロデイを使用した Clop のデータ窃盗攻撃は引き続きニュースで注目を集めており、企業はギャングのデータ漏洩サイトにデータ侵害が追加されるたびに情報侵害を開示し続けています。
本日発表されたCoveware の新しいレポートによると、これらの攻撃は非常に成功しており、ランサムウェア ギャングは恐喝の支払いで 7,500 万~1 億ドルを獲得すると予想されています。
今週、新しいランサムウェア情報やストーリーを提供した寄稿者および参加者は次のとおりです。@demonslay335、@セイフリード、@BleepinComputer、@malwrhunterteam、@billtoulas、@Ionut_Ilascu、@シャギーゲル、@fwosar、@ローレンス・エイブラムス、@セルゲイ、@chainarise、@トレンドマイクロ、@Intel_by_KELA、@pcrisk、@SophosXOps、@コーブウェア、@BroadcomSW、@pcrisk、 と@azalsecurity。
2023 年 7 月 8 日
新しい「Big Head」ランサムウェアが偽の Windows アップデート警告を表示
セキュリティ研究者らは、偽の Windows アップデートや Microsoft Word インストーラーを宣伝するマルバタイジングを通じて拡散している可能性がある、最近出現した「Big Head」という名前のランサムウェア株を分析しました。
Makop ランサムウェアの新しい亜種
PCrisk は、 .rajahを追加し、 +README-WARNING+.txtという名前の身代金メモをドロップする新しい Makop ランサムウェアの亜種を発見しました。
新しい STOP ランサムウェアの亜種
PCrisk は、 .gaynおよび.gazp拡張子を付加する新しい STOP 亜種を発見しました。
2023 年 7 月 12 日
2023 年のランサムウェアへの支払い額は記録破りに
今年上半期のデータは、ランサムウェアの活動がこれまでの記録を破る勢いで進んでおり、大小を問わず支払い件数が増加していることを示しています。
新しい STOP ランサムウェアの亜種
PCrisk は、 .waqqおよび.gaqq拡張子を付加する新しい STOP 亜種を発見しました。
Chaos ランサムウェアの新しい亜種
PCRisk は、 .hackedbySnea575拡張子を追加し、 README_txt.txtという名前の身代金メモをドロップする新しい Chaos 亜種を発見しました。
2023 年 7 月 14 日
Shutterfly は、Clop ランサムウェア攻撃は顧客データに影響を与えなかったと発表
オンライン小売および写真製造プラットフォームである Shutterfly は、Clop ランサムウェアによる最新の被害者の 1 つです。
2023 年 7 月 17 日
NoEscape の紹介: Avaddon ランサムウェア ギャングの後継者と思われる人物
新しい NoEscape ランサムウェア オペレーションは、2021 年に活動を停止し、復号キーを公開したランサムウェア ギャングである Avaddon をリブランドしたものであると考えられています。
警察、10年にわたる捜査の末、ウクライナのスケアウェア開発者を逮捕
スペイン国家警察は、2006年から2011年にわたるスケアウェア作戦に関与したとして国際指名手配中のウクライナ人を逮捕した。
ランサムウェア犯罪組織になりすまして雇用主を恐喝したとしてIT労働者が投獄される
元IT従業員である28歳のアシュリー・ライルズは、ランサムウェア攻撃中に雇用主を脅迫しようとした罪で3年以上の懲役刑を言い渡された。
新しい STOP ランサムウェアの亜種
PCrisk は、 .miza 、 .mitu 、および.miqe拡張子を付加する新しい STOP 亜種を発見しました。
新しい Xorist バリアント
PCrisk は、拡張子.PrOを追加し、 HOW TO DECRYPT FILES.txtという名前の身代金メモをドロップする新しい Xorist 亜種を発見しました。
2023 年 7 月 18 日
サイバーセキュリティ企業ソフォスが新しい SophosEncrypt ランサムウェアになりすます
サイバーセキュリティ ベンダーの Sophos は、SophosEncrypt と呼ばれる新しいサービスとしてのランサムウェアによって偽装されており、攻撃者は自社の名前を操作に使用しています。
FIN8 は、Sardonic マルウェア亜種を使用した ALPHV ランサムウェアを展開します
金銭目的のサイバー犯罪集団が、改良された Sardonic マルウェア バージョンを使用してバックドアを導入したネットワーク上に BlackCat ランサムウェア ペイロードを展開していることが観察されました。
2023 年 7 月 19 日
エスティ ローダーの美容大手が 2 つのランサムウェア集団に侵害される
ALPHV/BlackCat と Clop という 2 人のランサムウェア攻撃者が、美容会社エスティ ローダーを別の攻撃の被害者としてデータ漏洩サイトに掲載しました。
2023 年 7 月 20 日
Kanti: 野に放たれた NIM ベースのランサムウェア
新しいプログラミング言語は、確立された言語に比べてセキュリティ対策が少なく、検出メカニズムが未熟であることがよくあります。脅威アクター (TA) は、あまり知られていないプログラミング言語を使用して、従来のセキュリティ防御をバイパスし、検出を回避しようとすることがよくあります。
新しいクロノス ランサムウェア
PCrisk は、拡張子.khronosを付加し、 info.htaという名前の身代金メモを投下する新しい Kronos ランサムウェアを発見しました。
2023 年 7 月 21 日
クロップギャング、MOVEit恐喝攻撃で7,500万ドル以上稼ぐ
Clop ランサムウェア ギャングは、大規模な MOVEit データ盗難キャンペーンの被害者からの恐喝によって 7,500 万ドルから 1 億ドルを稼ぐと予想されています。
身代金の平均支払い額が急増したにもかかわらず、身代金の収益率は過去最低に低下
2023 年の第 2 四半期には、ランサムウェア攻撃のうち被害者に支払いをもたらした割合は、過去最低の 34% に低下しました。この傾向は、企業がセキュリティ、継続性資産、インシデント対応トレーニングに投資を継続していることによる複合効果を表しています。これらの心強い統計にもかかわらず、ランサムウェアの脅威アクターとサイバー恐喝経済全体は、攻撃と恐喝の戦術を進化させ続けています。
Bl00dy ランサムウェア ギャングが復活
AzAl Securityは、ランサムウェアギャングが新たな加盟者を募集しているが、最初に支払いが必要であると指摘した。
Bl00dy ランサムウェアは現在、RAMP フォーラムで宣伝し、アフィリエイト プログラムへの参加に 10,000 米ドルを要求しています。これは、Lockbits の料金の半額です。 Bl00dy は熱を感じたようで、より秘密裏に活動しているようです。注目すべきは、投稿者は英語をネイティブスピーカーであると思われることです。
新しい STOP ランサムウェアの亜種
PCrisk は、 .kiquおよび.kizu拡張子を付加する新しい STOP 亜種を発見しました。
新しい Black Hunt 2.0 ランサムウェア
PCrisk は、.Hunt2を追加し、 #BlackHunt_ReadMe.txtおよび#BlackHunt_ReadMe.htaという名前の身代金メモを投下する新しい Kronos ランサムウェアを発見しました。
Comments