2022年2月12〜18日に発生したサイバー攻撃まとめ

2022年2月12〜18日に発生したサイバー攻撃における大きなニュースは、Contiランサムウェアグループがマルウェア「TrickBot」の開発者であるTrickBotグループのコア開発者とマネージャーを採用したことです。

この採用により、Contiランサムウェアグループは、BazarBackdoorなどのさらなるステルス性マルウェアの開発に注力していくとの見方です。一方、TrickBotマルウェアはウイルス対策ソフトに簡単に検出されてしまうため、徐々に衰退していくことになります。

この合併により、Contiはランサムウェア攻撃の各段階(最初のアクセスから暗号化まで)に応じたマルウェアの開発に焦点を当てた異なるグループを持つ、実際のサイバー犯罪シンジケートに進化しました。

その他のニュースとして、FBIがBlackByteによる米国の重要インフラへの侵入を公表したことと、Chainalysis社の新しいレポートによりランサムウェアの支払いのエコシステムがより鮮明になったことです。

BlackByteによるSan Francisco 49ersへの攻撃、ミズノのランサムウェアによる被害、BlackCatによるSwissportへの攻撃の背後関係の確認など、今週判明した新たなランサムウェア攻撃を紹介します。

2022年2月13日

NFLのSan Francisco 49ersがBlackbyteランサムウェア攻撃を受ける

NFLのサンフランシスコ49ersチームは、アメリカンフットボール組織からデータを盗んだと主張するランサムウェアギャング「BlackByte」によるサイバー攻撃から回復しつつあります。

新しいSTOPランサムウェアの亜種の発生

Jakub Kroustek氏は、拡張子.qntyと.iipsを追加する新しいSTOPランサムウェアの亜種を発見しました。

新しいDharmaランサムウェアの亜種の発生

Jakub Kroustek氏は、.kl拡張子を付加する新しいDharmaランサムウェアの亜種を発見しました。

新しいSojuszランサムウェアの発生

Amigo-Aは、.sojusz拡張子を付加するSojuszという新しいランサムウェアを発見しました。

2022年2月14日

スポーツブランドのミズノがランサムウェア攻撃を受け、注文が遅延

スポーツ用品やスポーツウェアのブランドであるミズノが、ランサムウェアの攻撃を受け、電話の不通や注文の遅延などの影響を受けていることが明らかになりました。

FBI、ランサムウェア「BlackByte」が米国の重要インフラに侵入したことを発表

米国連邦捜査局(FBI)は、ランサムウェア「BlackByte」グループが、過去3カ月間に米国の重要インフラ分野の少なくとも3つの組織のネットワークに侵入したことを明らかにしました。

ロシアのサイバー犯罪者がランサムウェアと暗号通貨ベースのマネーロンダリング活動を大きく推進

ロシアの暗号犯罪エコシステムの中でも、サイバーセキュリティ、コンプライアンス、国家安全保障に深刻な影響を及ぼす、ランサムウェアとマネーロンダリングという2つの絡み合った分野について掘り下げていきます。

Wazawakaがランサムウェアのアフィリエイトプログラム「Babuk」を運営していたことや、後にランサムウェアに特化したダークウェブフォーラム「RAMP」の創設者である「Orange」になったことなどが挙げられます。

新しいランサムウェア「D3adCrypt」の発生

Amigo-Aは、拡張子.d3adを付加し、d3ad_Help.txtとd3ad_Help.htaというランサムノートをドロップするD3adCryptと名付けられた新しいランサムウェアを発見しました。

2022年2月15日

BlackCat(ALPHV)がSwissportのランサムウェア攻撃を主張、データを流出させる

ALPHVことBlackCatランサムウェアグループは、フライトの遅延やサービスの混乱を引き起こしたSwissportへの最近のサイバー攻撃の成功を公表

ランサムウェア「LockDown」の新種

Karsten Hahnは、拡張子.cantopenを付加するLockDownランサムウェアの新しい亜種を発見しました。

2022年2月16日

Chainalysis 2022年の暗号犯罪レポート

2021年を通してランサムウェア被害金額は数回更新され、以前には確認されていなかった新しい支払い方法が使用されています。2022年1月現在、2020年のランサムウェアによる支払いは6億9,200万ドルを超えており、昨年のレポート執筆時に当初確認した金額の約2倍となっています。

2022年2月17日

SugarLockerランサムウェアとオペレーターの追跡

SugarLockerランサムウェアを調査した結果、少なくとも2021年初頭から運営者がSugarLockerランサムウェアを製造していたと推測されます。実際に昨年後半からランサムウェアが配布されていたようですが、今のところ攻撃事例は確認されていません。データ漏洩サイトを運営しているわけではなく、最近ランサムウェアの名前が変更されたようなので、まだ活動していないようです。

新しいSTOPランサムウェアの亜種

PCriskは、.ckaeと.eucyの拡張子を付加する新しいSTOPランサムウェアの亜種を発見しました。

Hiveランサムウェアに感染したデータを復号化する方法

多くの種類の悪意のあるコードの中でも、ランサムウェアは大きな脅威となっています。ランサムウェアはデータを暗号化し、復号化と引き換えに身代金を要求します。暗号化キーを入手できなければデータの復旧は不可能なため、企業によっては莫大な金額を支払ったり、重要なデータを失ったりするなど、大きな被害を被ります。

Hiveランサムウェアは、FBIが注意喚起を行うほどの甚大な被害をもたらしています。Hiveランサムウェアによる被害を最小限に抑え、被害者がファイルを復旧できるように、Hiveランサムウェアの分析と復旧方法の検討が行われました。

Hiveランサムウェアの暗号化処理を解析することで、独自の暗号化アルゴリズムによる脆弱性が存在することを確認しました。Hiveランサムウェアによって暗号化されたデータの復号化を可能にするために、ファイル暗号化キーを生成するためのマスターキーを部分的に回収しました。攻撃者のRSA秘密鍵を使わずにマスターキーの95%を復元し、実際に感染したデータを復号しました。

これはHiveランサムウェアの復号化に成功した初めての試みです。今回の方法は、Hiveランサムウェアによる被害を軽減するために利用できると期待されています。

ランサムウェアの復号化に関する非常に興味深い内容ですが、マイケル・ギレスピーは、Hiveによって暗号化されたファイルを復号化するための実用的な方法ではないかもしれないと述べています。

2022年2月18日

ランサムウェア「Conti」がマルウェア「TrickBot」の運営を引き継ぐ

4年間にわたって活動し、何度もテイクダウンを試みてきたTrickBotが終了しました。TrickBotのトップメンバーは、よりステルス性の高いBazarBackdoorマルウェアに置き換えることを計画しているランサムウェア・シンジケート、Contiの配下に移動しました。

新しいランサムウェア「MonaLisa」

Amigo-Aは、「MonaLisa」と呼ばれる新しいランサムウェアを発見しました。このランサムウェアは、「.barrel」または「.nekochan」という拡張子を付け、「info.txt」または「info.hta」という名前の身代金請求書を添付します。

コメントを残す

メールアドレスが公開されることはありません。