ランサムウェア ギャングは引き続き VMware ESXi サーバーを優先的にターゲットにしており、活動中のほぼすべてのランサムウェア ギャングがこの目的のためにカスタム Linux 暗号化装置を作成しています。
今週は、 Abyss Locker の Linux 暗号化プログラムを分析し、それが ESXi 仮想マシンを暗号化するためにどのように特別に設計されているかを説明しました。
ESXi 暗号化機能を使用した他のランサムウェア操作には、 Akira 、 Royal 、 Black Basta 、 LockBit 、 BlackMatter 、 AvosLocker 、 REvil 、 HelloKitty 、 RansomEXX 、 Hive などがあります。
今週もかなりの量の調査が発表され、サイバーセキュリティ企業や研究者は以下に関するレポートを発表しました。
- ランサムウェアが業界組織とインフラストラクチャに与える影響。
- ある調査では、ランサムウェアによる脅威に対処する際のサイバー保険の役割を調査しました。
- KELA からの 3 つのレポートは、 Qilin 、新しいKnight 2.0 RaaS 、およびAkiraに関するものです。
- ランサムウェアのDLL ハイジャックの欠陥を悪用して暗号化を阻止するツール。
ランサムウェアまたは恐喝攻撃に関しては、 EYとSerco は Clop MOVEit 攻撃に関するデータ侵害通知を送信しました。
プロスペクト・メディカル・ホールディングスが運営する病院も 今週、親会社に対するランサムウェア攻撃の影響を受けた。しかし、襲撃の背後にどのようなギャングがいるのかは不明だ。
最後に、アルゼンチンの総合医療プログラム (PAMI) はランサムウェア攻撃を受け、運営に影響を及ぼしました。
今週新しいランサムウェア情報とストーリーを提供した寄稿者および参加者は次のとおりです: @billtoulas 、 @seifreed 、 @malwrhunterteam 、 @demonslay335 、 @serghei 、 @malwareforme 、 @LawrenceAbrams 、 @BleepinComputer 、 @Ionut_Ilascu 、 @Fortinet 、 @malvuln 、 @Intel_by_KELA 、 @DragosInc 、 @MrJamesSullivan 、 @pcrisk 、および@juanbrodersen 。
2023 年 7 月 29 日
Abyss Locker ランサムウェアの Linux 版が VMware ESXi サーバーをターゲットに
Abyss Locker オペレーションは、企業への攻撃で VMware の ESXi 仮想マシン プラットフォームをターゲットにする Linux 暗号化プログラムを開発した最新のものです。
新しいランサムウェア対策ツール RansomLord
セキュリティ研究者のMalvuln 氏は、ランサムウェア暗号化プログラムの DLL ハイジャックの脆弱性を悪用し、暗号化が開始される前にプロセスを終了する RansomLord と呼ばれるツールをリリースしました。動作が 100% 保証されているわけではないため、すべてのユーザーはプロジェクトの Readme を読む必要があります。
2023 年 7 月 31 日
Dragos Industrial ランサムウェア攻撃分析: 2023 年第 2 四半期
2023 年の第 2 四半期は、ランサムウェア グループが非常に活発な時期であることが判明し、業界組織やインフラストラクチャに重大な脅威をもたらしました。産業ターゲットに対するランサムウェア攻撃の増加とその結果的な影響は、ランサムウェア エコシステムの急速な成長と、目的を達成するためにこれらのグループによるさまざまな戦術、技術、手順 (TTP) の採用を浮き彫りにしています。第 2 四半期に、ドラゴスは、私たちが監視している 66 のグループのうち、33 のグループが業界組織に影響を与え続けていることを観察しました。これらのグループは、ゼロデイ脆弱性の悪用、ソーシャル エンジニアリングの利用、一般公開サービスの標的化、IT サービス プロバイダーの侵害など、以前は効果的だった戦術を引き続き採用しました。
サイバー保険とランサムウェアの挑戦
ランサムウェアによる脅威に対処する際のサイバー保険の役割を調査した研究。
新しいダルマの変種
PCrisk は、拡張子.Z0Vを付加し、 Z0V.txtという名前の身代金メモを投下する新しい Dharma ランサムウェアの亜種を発見しました。
新しい STOP ランサムウェアの亜種
PCrisk は、 .pouuまたは.poaz拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。
2023 年 8 月 1 日
アキラ ランサムウェア ギャングが復号プログラムを回避し、被害者を継続的に悪用
2023 年 6 月末に Akira ランサムウェアの解読ツールがリリースされたにもかかわらず、このグループは依然として被害者からの恐喝に成功しているようです。 7月、我々はこのグループの新たな被害者15人を観察したが、これらは公的に暴露されたか、交渉の過程でKELAによって発見されたものだった。
Cyclops ランサムウェア集団が Knight 2.0 RaaS 運用を公開: パートナーフレンドリーでターゲットが拡大
Cyclops ランサムウェア ギャングは、Knight という名前の RaaS オペレーションの 2.0 バージョンを開始しました。 7 月 26 日、ギャングはブログで「今週、新しいパネルとプログラムをリリースする」と発表しました。これはおそらくランサムウェア株と関連会社のパネルの両方の更新に言及したものと思われます。最近、サイクロップスは運営を「アップグレード」したと発表し、グループへの新たな関連会社の参加を呼びかけた。 Cyclops の RaaS を宣伝するスレッドの名前が「[RaaS]Knight」に変更されました。
Qilin ランサムウェア集団が珍しい支払いシステムを採用: 身代金の支払いはすべてアフィリエイトを通じて行われる
KELA は 7 月、Qilin (Agenda) RaaS プログラムの背後にいる攻撃者が、身代金の支払いは関連会社のウォレットにのみ行われると発表したことを観察しました。どうやら、その場合にのみ利益の一部が Qilin RaaS 所有者に譲渡されるようです。このアプローチは RaaS プログラムではあまり一般的ではありません。通常、被害者は RaaS 開発者/管理者が管理するウォレットに身代金を支払い、その後初めてアフィリエイトが身代金の分け前を受け取ります。現在 Qilin が採用している「逆の」アプローチは、LockBit でも使用されていることが知られています。
新しい Xorist ランサムウェアの亜種
PCrisk は、 .rtgを追加する新しい Xorist ランサムウェアの亜種を発見しました。
新しい STOP ランサムウェアの亜種
PCrisk は、 .popnを追加し、 _readme.txtという名前の身代金メモをドロップする新しい Xorist ランサムウェアの亜種を発見しました。
2023 年 8 月 2 日
PAMIはランサムウェアによるサイバー攻撃を認め、サイトはダウンしたが、「被害は軽減された」と保証している。
総合医療プログラム (PAMI) は、ファイルを暗号化して身代金と引き換えに要求するウイルスの一種であるランサムウェア サイバー攻撃を受けました。公式情報筋はクラリンに対し、この種のサイバー攻撃が関与しており、侵入元を調査していることを認めた。シフトは維持され、薬は薬局で通常通り購入できると彼らは保証した。
2023 年 8 月 3 日
米国政府請負業者の Serco が MoveIT 攻撃後のデータ侵害を明らかに
多国籍アウトソーシング会社 Serco Group のアメリカ部門である Serco Inc は、攻撃者がサードパーティ ベンダーの MoveIT マネージド ファイル転送 (MFT) サーバーから 10,000 人以上の個人情報を盗んだ後、データ侵害を明らかにしました。
ランサムウェア総まとめ – DoDo と Proton
ランサムウェア ラウンドアップの今回は、DoDo ランサムウェアと Proton ランサムウェアを取り上げます。
EY が MOVEit データ侵害通知を送信
私たちの調査に基づいて、メイン州居住者 3 人の個人データを含むファイルを含む、MOVEit ツールを通じて転送された特定のファイルを不正な当事者が入手できたと考えられます。その後、EY Law は影響を受けたファイルの大規模な分析も実施し、影響を受けた可能性のある個人とデータを特定し、その身元と連絡先情報を確認しました。
新しい Phobos ランサムウェアの亜種
PCrisk は、 .G-STARS拡張子を付加する新しい Phobos ランサムウェアの亜種を発見しました。
新しい TrashPanda ランサムウェア
PCrisk は、 .monochromebear拡張子を追加し、 [random_string]-readme.htmlという名前の身代金メモを投下する新しい TrashPanda ランサムウェアを発見しました。
新しい CryBaby ランサムウェア
PCrisk は、 .lockedbycrybaby拡張子を付加する新しい Crybaby Python ランサムウェアを発見しました。
Comments