今週はランサムウェアに関するニュースが数多くありましたが、特に注目されたのは、ジョン ディマジオによるランサムウェア ダイアリー シリーズの 3 番目の記事の公開でした。この記事では、LockBit ランサムウェアの運用に焦点を当てています。
しばらくの間、LockBit はランサムウェア「業界」のトップに位置しており、通常、作戦のデータ漏洩サイトに基づく被害者数では群をリードしています。
しかし、 ディマジオ氏が説明したように、ギャングが盗んだデータを公開して被害者を恐喝する能力に影響を与える深刻なストレージインフラ問題を抱えており、ロックビットの作戦はうまくいっていないようだ。
企業をターゲットとするすべてのランサムウェア操作と同様、攻撃を実行する場合、攻撃者はまずネットワークに侵入し、その後の恐喝要求に使用するデータを密かに収集します。貴重なデータがすべて盗まれ、バックアップが削除された後でのみ、攻撃者はランサムウェアを展開してファイルの暗号化を開始します。
この盗まれたデータは、身代金が支払われない場合、データ漏洩サイトに公開することで被害者を恐喝する際のてことして利用されます。
しかし、ディマジオ氏は、LockBit には深刻なストレージ問題があり、そのため運営が適切にデータを漏洩できず、恐喝戦略の一環としてデータ漏洩サイトを利用しようとする関連会社を苛立たせていることを知りました。
「盗まれたデータを一貫して公開できないことが多いという事実を隠すために、漏洩サイトでのプロパガンダと犯罪フォーラム全体での強い物語を利用してきた」と研究者は報告書の中で説明した。
「代わりに、虚偽の脅威とその世間の評判に頼って被害者に料金を支払わせようとします。どういうわけか、アフィリエイト パートナー以外は誰も気づきませんでした。この問題は、バックエンド インフラストラクチャと利用可能な帯域幅の制限によるものです。」
さらに悪いことに、公の場にある LockBit の代表である LockBitSupp は、Tox に出演せず、関連会社からの質問にも答えず、しばらく姿を消しました。
このため、関係会社はこの作戦が侵害されたのではないかと懸念しており、一部の関係者はディマジオに対し、新たなランサムウェア作戦に切り替え始めていると語った。
ロックビット作戦におけるこの混乱は他のセキュリティアナリストにも気づかれず、 アラン・リスカ氏も作戦の活動が急激に減少していると警告している。
その他のランサムウェア ニュース
他のランサムウェア ニュースでは、新しい暗号化プログラムについて詳しく調査した素晴らしい研究結果が発表されました。
- Microsoft は、BlackCat の Sphynx 暗号化装置に関する情報を共有しました。
- SecureScoreCard は、Underground ランサムウェアの技術分析を共有しました。
- トレンドマイクロは、 Monti 用の新しい Linux/VMware ESXi 暗号化ツールに関するニュースを共有しました。
- Will Thomas は、Oktapus ギャングが BlackCat とどのように協力している可能性があるかについてのレポートを発表しました。
MOVEit データ盗難攻撃は引き続き世界中の組織にとって厄介な問題となっており、コロラド州はこれらの攻撃の一環として400 万人のデータが盗まれたと警告しています。
最後に、トリップアドバイザーの苦情として新しい Knight ランサムウェアをプッシュする新たなフィッシング キャンペーンが発見されました。
今週、新しいランサムウェア情報やストーリーを提供した寄稿者および参加者は次のとおりです。@malwrhunterteam、@ローレンス・エイブラムス、@fwosar、@BleepinComputer、@billtoulas、@セルゲイ、@セイフリード、@demonslay335、@Jon__DiMaggio、@security_score、@vxunderground、@MsftSecIntel、@トレンドマイクロ、@IBMセキュリティ、@felixw3000、@uptycs、@BushidoToken、@adlumin、 そして@pcrisk。
2023 年 8 月 12 日
Knight ランサムウェアが偽のトリップアドバイザー苦情メールで配布される
Knight ランサムウェアは、トリップアドバイザーへの苦情を装った継続的なスパム キャンペーンで配布されています。
2023 年 8 月 14 日
Monti ランサムウェアは、新しい Linux ロッカーを備えた VMware ESXi サーバーをターゲットにします
Monti ランサムウェア ギャングは、データ漏洩サイトで被害者の公開を 2 か月間休止していた後、戻ってきました。新しい Linux ロッカーを使用して、VMware ESXi サーバー、法律機関、政府機関をターゲットにしています。
コロラド州、IBM MOVEit侵害で400万件のデータが盗まれたと警告
コロラド州医療政策・財政局(HCPF)は、個人情報や健康情報に影響を与えたデータ侵害について400万人以上の個人に警告している。
Storm-0978 によって展開され、CVE-2023-36884 を悪用したアンダーグラウンド ランサムウェア
Underground ランサムウェアは Industrial Spy ランサムウェアの後継であり、Storm-0978 と呼ばれる脅威アクターによって展開されました。このマルウェアはターゲット サービスを停止し、ボリューム シャドウ コピーを削除し、すべての Windows イベント ログを消去します。
新しい STOP ランサムウェアの亜種
PCrisk は、 .tasaおよび.taoy拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。
2023 年 8 月 15 日
ランサムウェア日記: 第 3 巻 – ロックビットの秘密
ランサムウェア ダイアリーのこの巻では、LockBit が懸命に隠蔽しようとしていた、LockBit ランサムウェア オペレーションのこれまで知られていなかった興味深い詳細を共有します。これまで、LockBit の本当の機能について騙されてきました。今日は、その犯罪プログラムの実際の現状を示し、証拠に裏付けられた分析によって、LockBit が見過ごされているいくつかの重大な運用上の問題を抱えていることを証明します。
Allahu Akbar ランサムウェアの新しい亜種
PCrisk は、拡張子.allahuakbarを追加し、 how_to_decrypt.txtという名前の身代金メモを投下する新しい STOP ランサムウェアの亜種を発見しました。
新しい Retch ランサムウェアの亜種
PCrisk は、拡張子.Retchを追加し、 HOW TO RECOVER YOUR FILES.txtという名前の身代金メモを投下する新しいランサムウェアの亜種を発見しました。
2023 年 8 月 16 日
敵対者の追跡: BlackCat の関連会社である Scattered Spider
4 年以上にわたってサイバー犯罪の脅威の状況を日々追跡していると、驚くべきことが起こることはそれほど多くなくなりました。しかし、CrowdStrike では Scattered Spider、Group-IB では 0ktapus というあだ名で追跡されている、英語を話す大物狩りのサイバー犯罪グループと思われる集団が、BlackCat (または ALPHV) として知られるロシア語を話すランサムウェア グループと提携しているという最新の動向が明らかになりました。私の注意。
2023 年 8 月 17 日
Microsoft: BlackCat の Sphynx ランサムウェアには Impacket、RemCom が埋め込まれています
Microsoft は、Impacket ネットワーク フレームワークと Remcom ハッキング ツールを組み込んだ BlackCat ランサムウェアの新バージョンを発見しました。これらは両方とも侵害されたネットワーク全体に横方向に拡散することを可能にします。
PlayCrypt ランサムウェア グループがマネージド サービス プロバイダーに対するキャンペーンで大混乱を引き起こす
Adlumin Threat Research チームは、洗練された Play ランサムウェア (PlayCrypt とも呼ばれる) を使用した集中的な世界規模のキャンペーンを発見しました。このキャンペーンは現在、米国、オーストラリア、英国、イタリアの州、地方、部族、領土 (SLTT) 団体に加え、金融、ソフトウェア、法律、海運および物流業界の中堅企業をターゲットにしています。 PlayCrypt ランサムウェア グループは、2023 年 3 月のオークランド市攻撃に以前から関連付けられていました。
新しい Retch ランサムウェアの亜種
PCrisk は、拡張子.Retchを追加し、 HOW TO RECOVER YOUR FILES.txtという名前の身代金メモを投下する新しいランサムウェアの亜種を発見しました。
Comments