一部のランサムウェア活動は病院を標的としていないと主張していますが、Rhysida という名前の比較的新しいランサムウェア ギャングは気にしていないようです。
Rhysida は 2023 年 5 月に発足し、病院、企業、さらには政府機関に対しても無差別攻撃を行い、すぐにその名を轟かせ始めました。
このグループはチリ軍 (Ejército de Chile) を攻撃し、盗んだデータを漏洩したことで最初に悪名を轟かせました。
現在、このランサムウェアギャングが医療機関をターゲットにしていることで見出しを飾っており、このグループはプロスペクト・メディカル・グループへの攻撃の背後にいると考えられており、全米の17の病院と166の診療所に影響を与えている。
これにより、 米国保健福祉省、 トレンドマイクロ、 Cisco Talos 、 チェック・ポイント・リサーチが相次いでレポートを発表しました。
また、 TargetCompanyに関するランサムウェア、 RaaS エコシステムに影響を与えるコード漏洩、 カスタマイズされたバージョンの Yashma ランサムウェアを使用する新たな攻撃者に関する追加レポートも確認されました。
他のニュースとしては、Clop の MOVEit データ盗難攻撃による余波が引き続き確認されており、 ミズーリ州社会サービス局は、IBM の MOVEit サーバーからデータが盗まれたと警告しています。
最後に、 ユーロポールと米国司法省は、逮捕された管理者の1人がギャングのストレージサーバーをホスティングすることでNetwalkerランサムウェア攻撃を助長したとして、防弾ホスティングプロバイダーLOLEKHostedの閉鎖を発表した。
今週新しいランサムウェア情報とストーリーを提供した寄稿者および参加者は次のとおりです: @seifreed 、 @struppigel 、 @Ionut_Ilascu 、 @serghei 、 @LawrenceAbrams 、 @malwrhunterteam 、 @billtoulas 、 @demonslay335 、 @BleepinComputer 、 @HHSGov 、 @TrendMicro 、 @TalosSecurity 、 @_CPResearch_ 、 @IRS_CI 、および@pcrisk 。
2023 年 8 月 7 日
新たな攻撃者は、カスタマイズされた Yashma ランサムウェアでブルガリア、中国、ベトナム、その他の国をターゲットにしています
Talos は、攻撃者の GitHub アカウント「nguyenvietphat」には、これらの国の言語で書かれたランサムウェア メモがあることから、この攻撃者は英語圏の国、ブルガリア、中国、ベトナムの被害者をターゲットにしていると高い確信を持って評価しています。英語版の存在は、攻撃者が広範囲の地理的領域をターゲットにする意図があることを示している可能性があります。
コード漏洩が新たなランサムウェア攻撃者の流入を引き起こしている
2022 年の振り返りで強調されているように、ランサムウェア ギャングは一貫してブランド名を変更したり、他のグループと合併したりしています。あるいは、これらの攻撃者は一度に複数のサービスとしてのランサムウェア (RaaS) 組織で働いており、新しいグループが常に出現しています。
TargetCompany ランサムウェアが FUD Obfuscator Packers を悪用
今年初めに、リモート アクセス トロイの木馬 (RAT) Remcos と TargetCompany ランサムウェアを組み合わせたアクティブなキャンペーンの展開が発見されました。これらのデプロイメントを以前のサンプルと比較したところ、これらのデプロイメントでは完全に検出できない (FUD) パッカーがバイナリに実装されていることがわかりました。テレメトリ データと外部の脅威ハンティング ソースを組み合わせることで、開発中のこれらの初期サンプルを収集することができました。最近、この技術が導入され、特に標的となった被害者を発見しました。
新しい STOP ランサムウェアの亜種
PCrisk は、 .yyzaおよび.yytw拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。
新しい Dharma ランサムウェアの亜種
PCrisk は、 .GPT拡張子を付加する新しい Dharma 亜種を発見しました。
2023 年 8 月 8 日
RHYSIDA ランサムウェア: 活動分析と悪徳社会との関係
Rhysida ランサムウェア グループは、今年 5 月に初めて明らかになり、それ以来、チリ軍への攻撃を含む、いくつかの影響力のある侵入に関連していると考えられています。最近、このグループはプロスペクト・メディカル・ホールディングスに対する攻撃にも関与しており、全米の17の病院と166の診療所が被害を受けた。この攻撃の後、米国保健福祉省はリシダを医療分野に対する重大な脅威と定義しました。
Rhysida ランサムウェアについて Cisco Talos が知っていること
Cisco Talos は、米国保健福祉省(HHS)が最近発行した、Rhysida ランサムウェアの活動について医療業界に警告する勧告を認識しています。
新しい Xorist バリアント
PCrisk は、拡張子.PrOToNを付加し、 HOW TO DECRYPT FILES.txtという名前の身代金メモを投下する新しい Xorist ランサムウェアの亜種を発見しました。
2023 年 8 月 9 日
ミズーリ州、IBM MOVEitのデータ侵害で医療情報が盗まれたと警告
ミズーリ州社会サービス局は、IBMがMOVEitデータ盗難攻撃を受けた後、保護されていたメディケイド医療情報がデータ侵害によって流出したと警告した。
医療に対する最近の攻撃の背後にある Rhysida ランサムウェア
Rhysida ランサムウェアの作戦は、医療機関に対する一連の攻撃により、政府機関やサイバーセキュリティ企業がその作戦に細心の注意を払うようになったことで有名になりました。
医療分野を標的とした新しい Rhysida ランサムウェアの概要
2023 年 8 月 4 日、HHS の保健部門サイバーセキュリティ コーディネーション センター (HC3) は、2023 年 5 月から活動している Rhysida と呼ばれる比較的新しいランサムウェア (Ransom.PS1.RHYSIDA.SM として検出) に関するセキュリティ警告を発表しました。ブログ エントリでは、Rhysida のターゲットや感染チェーンについてわかっていることなど、Rhysida について詳しく説明します。
2023 年 8 月 10 日
新しい Harward ランサムウェア
PCrisk は、 .harward拡張子を付加する新しいランサムウェアの亜種を発見しました。
2023 年 8 月 11 日
LOLEKHosted 管理者が Netwalker ランサムウェア ギャングを支援した疑いで逮捕
警察は、Netwalker ランサムウェア攻撃やその他の悪意のある活動を助長した疑いで、防弾ホスティング プロバイダーである Lolek を閉鎖し、5 人を逮捕し、サーバーを押収しました。
新しい MedusaLocker の亜種
PCrisk は、 .alock拡張子を付加する新しいランサムウェアの亜種を発見しました。
Comments