Global pew pew map

今週は、多くの組織に大きな影響を与えた重大な攻撃に関する調査レポートとニュースでいっぱいでした。

先週、Rackspace は、ホストされている Microsoft Exchange 環境で大規模な停止に見舞われ、顧客が電子メールにアクセスできなくなりました。火曜日に、Rackspace は、 ランサムウェア攻撃が機能停止の原因であるという皆の懸念を最終的に確認しました。

Rackspace は、その背後にあるランサムウェア操作や、攻撃者がデータを盗んだかどうかなど、攻撃に関する詳細を明らかにしていません。

しかし、本日、標的型フィッシング メールに注意し、信用報告書や銀行口座の明細書を監視して疑わしい活動がないか、 顧客に警告するようになりました。この警告は、ランサムウェア操作が攻撃でデータを盗んだ可能性が高いことを示している可能性があります。

ニュージーランドの MSP Mercury IT に対する別の攻撃も、その顧客の多くが国内の地方自治体である一連の機能停止につながりました。

パリのAndré-Mignot 教育病院に対するランサムウェア攻撃も重大な混乱を引き起こし、一部の患者は別の病院に転送されました。

また、今週、サイバーセキュリティ企業と米国政府による興味深い調査もいくつか見られました。

最後に、Brian Krebs は、Venus および Clop ランサムウェア ギャングがネットワークを侵害し、被害者に支払いを求めるために使用する新しい戦術に関する非常に興味深いレポートを作成しました。

寄稿者、および今週ランサムウェアに関する新しい情報やストーリーを提供した人は次のとおりです。@シャギーゲル@PolarToffee@セイフリード@fwosar@ダニエルギャラガー@Bleepinコンピューター@Ilonut_Ilascu@LawrenceAbrams@jorntvdw@demonslay335@billtoulas@フォーオクテット@VK_インテル@セルゲイ@malwrhunterteam@マルウェアフォーム@pcrisk@Unit42_インテル@フォーティネット@ブライアンクレブス@モルフィセック@smgoreli、 と@Phylum_IO.

2022 年 12 月 5 日

ランサムウェア攻撃により、フランスの病院が患者の移送を余儀なくされる

パリ郊外にある André-Mignot 教育病院は、土曜日の夜にランサムウェア攻撃が発生したため、電話とコンピューター システムをシャットダウンしなければなりませんでした。

ランサムウェアが偶発的なワイパーに変わった話

ランサムウェア ラウンドアップ シリーズの前号では、Cryptonite と呼ばれる公開されているオープンソースのランサムウェア ツールキットについて説明しました。その調査の一環として、復号化ウィンドウを提供せず、代わりにワイパーとして機能する Cryptonite サンプルが野生で発見されました。最近では、主に政治キャンペーンの一環として、意図的にワイパー マルウェアに変えられたランサムウェアが増加しています。この投稿では、Cryptonite ワイパーのサンプルを詳しく見ていきます。

ニュージーランドの MSP に対するランサムウェア攻撃

Mercury IT に対するランサムウェア攻撃を含むサイバー セキュリティ インシデントが発生しました。 Mercury IT は、ニュージーランド全土の顧客に幅広い IT サービスを提供しています。

新しい Puspa2 ランサムウェア

PCrisk は、拡張子.puspa2#mejukeni7sala029を追加し、 XXX_HELLO’S_READ_ME._txtという名前の身代金メモをドロップする HiddenTear 亜種を発見しました。

新しい STOP ランサムウェアの亜種

PCrisk は、暗号化されたファイルに.mppnまたは.mbtf拡張子を追加する新しい STOP ランサムウェアの亜種を発見しました。

2022 年 12 月 6 日

Rackspace は、停止がランサムウェア攻撃によって引き起こされたことを確認します

テキサスを拠点とするクラウド コンピューティング プロバイダー Rackspace は本日、ランサムウェア攻撃が「孤立した混乱」と呼ばれる継続的な Hosted Exchange の停止の背後にあることを確認しました。

副社会: 教育部門に対する持続的な脅威のプロファイリング

Vice Society は、今年、学校に対する注目を集めた活動に関与したランサムウェア ギャングです。典型的なサービスとしてのランサムウェア (RaaS) モデルに従う LockBit などの他の多くのランサムウェア グループとは異なり、バイス ソサエティの操作は、攻撃チェーンで既存のランサムウェア ファミリのフォークを使用することで知られているという点で異なります。 DarkWeb マーケットプレイスで販売されています。これには、Vice Society が独自のカスタム ペイロードを開発するのではなく、HelloKitty (別名 FiveHands) や Zeppelin のランサムウェアが含まれます。

大規模な攻撃で発見された新しい Babuk ランサムウェア

11 月、Morphisec は顧客の防御イベントを調査中に、Babuk ランサムウェアの新しい亜種を特定しました。 Babuk が最初に発見されたのは 2021 年の初め、企業を標的にして二重恐喝攻撃でデータを盗み、暗号化し始めたときです。その年の後半、脅威アクターがロシア語圏のハッキング フォーラムで Babuk の完全なソース コードを流出させました。

新しい Obz ランサムウェア

PCrisk は、 .OBZ拡張子を追加し、ReadMe.txt という名前の身代金メモをドロップする新しいランサムウェアの亜種を発見しました。

2022 年 12 月 8 日

CommonSpirit Health のランサムウェア攻撃により、623,000 人の患者のデータが流出

CommonSpirit Health は、10 月のランサムウェア攻撃で攻撃者が 623,774 人の患者の個人データにアクセスしたことを確認しました。

米国保健省は、ヘルスケアを標的とした Royal Ransomware について警告しています

米国保健社会福祉省 (HHS) は本日、比較的新しい組織である Royal ランサムウェア ギャングによる進行中の攻撃に関して、同国の医療機関に新たな警告を発しました。

新しい身代金支払いスキームは、幹部、遠隔医療を標的にしています

ランサムウェア グループは、被害者を感染させて代金を支払うよう説得するための新しい方法を常に考案していますが、最近テストされたいくつかの戦略は特に悪質に思えます。 1 つ目は、インターネットを介して相談を提供している医療機関を標的とし、「患者」のためにブービートラップされた医療記録を送信することに重点を置いています。もう 1 つは、上場企業の幹部の電子メールの受信トレイを慎重に編集して、一部がインサイダー取引に関与しているように見せることです。

2022 年 12 月 9 日

Rackspace は、ランサムウェア攻撃に続くフィッシングのリスクを警告しています

クラウド コンピューティング プロバイダーの Rackspace は、ホストされている Microsoft Exchange 環境に影響を与えるランサムウェア攻撃を受けて、フィッシング攻撃のリスクが高まることを木曜日に顧客に警告しました。

Python および Javascript 開発者に対する進行中の攻撃

一夜にして、人気のある requests パッケージのタイポスクワットをめぐる活動が急増していることを確認しました。悪意のあるパッケージ自体に、攻撃者は次のものを埋め込んでいます。

いくつかのコンテキストを提供するために、Phylum は、python パッケージがランサムウェアを装った Linux および Windows マルウェアを配布していた NPM/PyPi キャンペーンを発見しました。ランサムウェアをテストした後、実際には何も暗号化せず、身代金メモをドロップしてデスクトップの壁紙を変更するだけであることを確認しました.

この背後にいる攻撃者は、単に「遊んでいる」だけであり、暗号化を追加する予定はないと述べています。

MedusaLocker の新しい亜種

PCrisk は、拡張子.allock[number]を追加し、 how_to_back_files.htmlという名前の身代金メモをドロップする新しい MedusaLocker の亜種を発見しました。

新しい VoidCrypt 亜種

PCrisk は、 .Juli拡張子を追加し、 unlock-info.txtという名前の身代金メモをドロップする新しい VoidCrypt 亜種を発見しました。

今週は以上です!みなさん、良い週末をお過ごしください!