Lock over a city

セキュリティ ソフトウェアによる検出を回避するために、マルウェアの開発者や攻撃者は、侵害されたコード署名証明書を使用してマルウェアに署名することが増えています。

この傾向は今週、Microsoft が12 月のパッチ チューズデー中に、 開発者アカウントが侵害され、Windows ハードウェア開発者プログラムで悪意のあるカーネルモードのハードウェア ドライバーに署名されたことを明らかにしたときに示されました。

Microsoft がこれらのドライバーに署名したため、ドライバーを Windows にロードして、オペレーティング システムで最高レベルの権限を取得することができました。

これらのドライバは、コンピュータ上で実行されている保護されたセキュリティ ソフトウェア プロセスと Windows サービスを無効にする STONESTOP (ローダー) および POORTRY (ドライバ) マルウェアで構成されるツールキットの一部として使用されていました。

MicrosoftMandiantSophosSentinelOneからの共同レポートによると、複数の脅威アクターが、Hive や Cuba のランサムウェア操作など、これらの侵害されたアカウントを使用して署名されたマルウェアを使用したことが示されました。

Microsoft は、Magniber Ransomware や QBot などのマルウェア配布キャンペーンで攻撃者が積極的に悪用した Windows Mark of the Web のゼロデイ脆弱性も修正しました。

今週発表されたその他の調査には次のようなものがあります。

最後に、今週もかなりの数のサイバー攻撃または攻撃に関する情報がありましたが、ランサムウェアであることが確認されたのはごくわずかでした.

ランサムウェア攻撃には、 カリフォルニア州財務省に対する LockBit 攻撃が含まれます。 アントワープのベルギーの都市への攻撃を主張する Play ランサムウェア作戦と、コロンビア最大のエネルギー供給業者の 1 つであるEPM への BlackCat ランサムウェア攻撃です。

寄稿者、および今週ランサムウェアに関する新しい情報やストーリーを提供した人は次のとおりです。@シャギーゲル@VK_インテル@billtoulas@フォーオクテット@jorntvdw@Bleepinコンピューター@ダニエルギャラガー@demonslay335@malwrhunterteam@fwosar@セイフリード@セルゲイ@マルウェアフォーム@Ilonut_Ilascu@LawrenceAbrams@PolarToffee@_CPResearch_@vinopaljiri@サイバーリーズン@1ZRR4H@タロスセキュリティ@pcrisk@トレンドマイクロ@GeekCyber、 と@デジテラグループ

  1. 2022 年 12 月 11 日
    1. Clop ランサムウェアは TrueBot マルウェアを使用してネットワークにアクセスします
  2. 2022 年 12 月 12 日
    1. Play ランサムウェアがベルギーのアントワープ市への攻撃を主張
    2. Azov ランサムウェアの幕開け: スキッドウェアではなくポリモーフィック ワイパー
    3. 新しい STOP ランサムウェアの亜種
  3. 2022 年 12 月 13 日
    1. LockBit がカリフォルニア州財務省への攻撃を主張
    2. ランサムウェア攻撃で使用される Microsoft 署名付きの悪意のある Windows ドライバー
    3. BianLian ランサムウェアの詳細
    4. 新しい STOP ランサムウェアの亜種
    5. Dharma ランサムウェアの新しい亜種
    6. 新しい Lucknite ランサムウェア
    7. 新しい Chaos ランサムウェアの亜種
  4. 2022 年 12 月 14 日
    1.  
    2. Microsoft、ランサムウェアの投下に使用された Windows のゼロデイにパッチを適用
    3. Royal Rumble: Royal ランサムウェアの分析
    4.  
    5. Masscan ランサムウェアの脅威分析 – 2022 年サイバー インテリジェンス レポート
    6. 新しい BLOCKY ランサムウェア
    7. 新しい HentaiLocker ランサムウェア
  5. 2022 年 12 月 16 日
    1. コロンビアのエネルギー サプライヤー EPM が BlackCat ランサムウェア攻撃に見舞われた
    2.  
    3. Agenda ランサムウェアは Rust を使用して、より重要な産業を標的にしています
    4. 新しい STOP ランサムウェアの亜種
    5. Agenda ランサムウェアは Rust を使用して、より重要な産業を標的にしています
    6. 今週は以上です!みなさん、良い週末をお過ごしください!

2022 年 12 月 11 日

Clop ランサムウェアは TrueBot マルウェアを使用してネットワークにアクセスします

セキュリティ研究者は、Silence として知られるロシア語を話すハッキング グループによって作成された TrueBot マルウェア ダウンローダーに感染したデバイスが急増していることに気付きました。

2022 年 12 月 12 日

Play ランサムウェアがベルギーのアントワープ市への攻撃を主張

Play ランサムウェア オペレーションは、ベルギーの都市アントワープに対する最近のサイバー攻撃に対する犯行声明を出しました。

Azov ランサムウェアの幕開け: スキッドウェアではなくポリモーフィック ワイパー

Azov が一般的なランサムウェアと異なる点の 1 つは、特定の 64 ビット実行可能ファイルを変更して独自のコードを実行することです。現代のインターネットが出現する前は、この動作がマルウェアの拡散の王道でした。このため、今日に至るまで、それは「コンピュータ ウイルス」の教科書的な定義のままです (この事実は、業界の専門家に心から愛され、他のすべての人にも同様に憤慨しています)。

新しい STOP ランサムウェアの亜種

PCriskは、拡張子.manwおよび.maosを追加する新しい STOP ランサムウェアの亜種を発見しました。

2022 年 12 月 13 日

LockBit がカリフォルニア州財務省への攻撃を主張

カリフォルニア州の財務省は、現在 LockBit ランサムウェア ギャングによって主張されているサイバー攻撃の標的になっています。

ランサムウェア攻撃で使用される Microsoft 署名付きの悪意のある Windows ドライバー

Microsoft は、プロファイルを介して署名されたドライバーがランサムウェア インシデントを含むサイバー攻撃に使用された後、いくつかの Microsoft ハードウェア開発者アカウントを取り消しました。

BianLian ランサムウェアの詳細

BianLian ランサムウェアは、2022 年に複数の業界で標的型攻撃を実行した Golang マルウェアです。このランサムウェアは、一部のサンドボックス/自動分析システムをクラッシュさせる可能性のある API 呼び出しで構成される分析対策技術を採用していました。マルウェアは、マシン上で特定されたすべてのドライブを標的とし、暗号化が完了すると自身を削除します。

新しい STOP ランサムウェアの亜種

PCrisk は、 .matu拡張子を追加する新しい STOP ランサムウェアの亜種を発見しました。

Dharma ランサムウェアの新しい亜種

PCrisk は、拡張子.hebemを追加し、 info.txtという名前の身代金メモをドロップする新しい Dharma ランサムウェアの亜種を発見しました。

新しい Lucknite ランサムウェア

PCrisk は、拡張子.luckniteを追加し、 README.txtという名前の身代金メモをドロップする新しい Lucknite ランサムウェアを発見しました。

新しい Chaos ランサムウェアの亜種

PCrisk は、拡張子.xllmを追加し、 read_it.txtという名前の身代金メモをドロップする新しい Chaos ランサムウェアの亜種を発見しました。

2022 年 12 月 14 日

 

Microsoft、ランサムウェアの投下に使用された Windows のゼロデイにパッチを適用

Microsoft は、攻撃者が Windows SmartScreen セキュリティ機能を回避し、Magniber ランサムウェアと Qbot マルウェア ペイロードを配信するために使用するセキュリティの脆弱性を修正しました。

Royal Rumble: Royal ランサムウェアの分析

Royal ランサムウェア グループは 2022 年初頭に出現し、年央から勢いを増しています。グループがさまざまな TTP を介して展開するそのランサムウェアは、世界中の複数の組織に影響を与えています。グループ自体は、Royal ランサムウェアと他のランサムウェア オペレーターの間で研究者が観察した類似点に基づいて、他のランサムウェア グループの元メンバーで構成されている疑いがあります。

 

Masscan ランサムウェアの脅威分析 – 2022 年サイバー インテリジェンス レポート

2022年下半期、韓国の多くの企業からランサムウェア被害の事例が多数報告されました。攻撃者がセキュリティシステムの脆弱なデータベース(DB)サーバーに侵入し、ランサムウェアを配布してファイルを暗号化し、ファイル拡張子に「.masscan」文字列を追加しました。

新しい BLOCKY ランサムウェア

PCrisk は、 .Locked拡張子を追加し、 READ_IT.txtという名前の身代金メモをドロップする新しい Blocky ランサムウェアを発見しました。

新しい HentaiLocker ランサムウェア

PCrisk は、拡張子 .HENTAI を追加し、 UNLOCKFILES.txtという名前の身代金メモをドロップする新しいランサムウェアを発見しました。

2022 年 12 月 16 日

コロンビアのエネルギー サプライヤー EPM が BlackCat ランサムウェア攻撃に見舞われた

コロンビアのエネルギー企業 Empresas Públicas de Medellín (EPM) は、月曜日に BlackCat/ALPHV ランサムウェア攻撃を受け、同社の業務を中断させ、オンライン サービスを停止させました。

 

Agenda ランサムウェアは Rust を使用して、より重要な産業を標的にしています

今年、BlackCat、Hive、RansomExx などのサービスとしてのランサムウェア (RaaS) グループは、Rust でランサムウェアのバージョンを開発しました。Rust は、Windows や Linux などのさまざまなオペレーティング システムに合わせてマルウェアを簡単に調整できるクロスプラットフォーム言語です。 .このブログ エントリでは、この言語の使用を開始した別のランサムウェア グループである Agenda (別名 Qilin) に光を当てます。

新しい STOP ランサムウェアの亜種

PCrisk は、拡張子 .btnw.btos 、および.bttuを追加する新しい STOP ランサムウェアの亜種を発見しました。

Agenda ランサムウェアは Rust を使用して、より重要な産業を標的にしています

今年、BlackCat、Hive、RansomExx などのサービスとしてのランサムウェア (RaaS) グループは、Rust でランサムウェアのバージョンを開発しました。Rust は、Windows や Linux などのさまざまなオペレーティング システムに合わせてマルウェアを簡単に調整できるクロスプラットフォーム言語です。 .このブログ エントリでは、この言語の使用を開始した別のランサムウェア グループである Agenda (別名 Qilin) に光を当てます。

今週は以上です!みなさん、良い週末をお過ごしください!