ESXi サーバーを標的とする進行中の攻撃から、Conti/TrickBot メンバーに対する制裁まで、ランサムウェアに関して非常に忙しい 1 週間でした。
世界的な ESXiArgs ランサムウェア攻撃は、週末から週にかけて VMware ESXi サーバーを悩ませ続けました。管理者がサーバーを回復するのを支援するために、 CISA は、暗号化されたサーバー上のフラット ファイルから仮想マシンを回復するスクリプトをリリースしました。
しかし、その 1 日後に、より多くのデータを暗号化する新しいバージョンの ESXiArgs ランサムウェアがリリースされ、これまで知られていた回復方法が妨げられました。
ランサムウェア ギャングにとって格好のターゲットである ESXi を使用して、 Royal Ransomware グループの Linux 暗号化ツールは、仮想マシンを暗号化するための独自の Linux 暗号化も開発しました。
また、米国政府から、 7 つの TrickBot/Conti サイバー犯罪組織のメンバーに制裁を科し、 北朝鮮のランサムウェア攻撃が DRPK の運営資金としてどのように使用されているかを詳述したレポートを発表したというニュースもありました。
被害者が少なく、データ漏洩サイトでの活動が長期間続いた後、Clop ランサムウェア ギャング (TA505) が復活し、 GoAnywhere MFT のゼロデイ脆弱性を利用した攻撃の背後にいると主張しています。
ランサムウェア ギャングは、この脆弱性を悪用して 130 の企業からデータを盗んだと述べていますが、これを独自に検証することはできませんでした。
また、Royal Mail への攻撃、 カナダの Indigo 書店への攻撃、 A10 Networks が Play ランサムウェア攻撃後にデータ侵害を受けたことを最終的に主張した LockBit など、さまざまな (可能性の高い) ランサムウェア攻撃に関するニュースもいくつか入手しました。
ただし、 Huntress Labs によるレポートは、 Clop がこれらの攻撃に関与した可能性が高いことも示しています。
寄稿者、および今週ランサムウェアに関する新しい情報やストーリーを提供した人々には、@LawrenceAbrams、@malwrhunterteam、@billtoulas、@demonslay335、@シャギーゲル、@PolarToffee、@fwosar、@Bleepinコンピューター、@Ilonut_Ilascu、@セルゲイ、@セイフリード、@jfslowik、@CISAgov、@LabsSentinel、@BushidoToken、@ASEC_分析、@pcrisk、@ValeryMarchive、 と@BrettCallow.
2023 年 2 月 5 日
Royal Ransomware の Linux バージョンが VMware ESXi サーバーを標的に
Royal Ransomware は、特に VMware ESXi 仮想マシンを標的とする最新のマルウェア バリアントに、Linux デバイスの暗号化のサポートを追加する最新のランサムウェア操作です。
2023 年 2 月 6 日
VMware、管理者に ESXi サーバーにパッチを適用し、OpenSLP サービスを無効にするよう警告
VMware は本日、最新のセキュリティ アップデートをインストールし、インターネットに公開された脆弱な ESXi サーバーに対する大規模なランサムウェア攻撃キャンペーンの標的となった OpenSLP サービスを無効にするようにお客様に警告しました。
AD 環境での自己増殖機能を備えた DarkSide ランサムウェア
分析とサンドボックス検出を回避するために、DarkSide ランサムウェアは、ローダーとデータ ファイルの両方が存在する場合にのみ動作します。 「msupdate64.exe」という名前のローダーは、エンコードされたランサムウェアを含む同じパス内の「config.ini」データ ファイルを読み取り、通常のプロセスのメモリ領域でランサムウェアを実行します。ランサムウェアは、特定の引数が一致した場合にのみ動作するように構成されています。その後、タスク スケジューラに自身を登録し、定期的に実行します。
2023 年 2 月 7 日
LockBit ランサムウェア ギャングが Royal Mail のサイバー攻撃を主張
LockBit ランサムウェア オペレーションは、英国の主要なメール配信サービス Royal Mail に対するサイバー攻撃を主張しており、「深刻なサービスの中断」により、同社は国際配送サービスを停止せざるを得ませんでした。
Clop ランサムウェアの欠陥により、Linux の被害者は数か月間ファイルを復元できた
Clop ランサムウェア ギャングは現在、Linux サーバーを明示的に標的とするマルウェアの亜種も使用していますが、暗号化方式に欠陥があるため、被害者は数か月間無料で静かにファイルを復元できました。
ロシア人男性、Ryuk ランサムウェアのマネー ロンダリングで有罪を認める
ロシア市民の Denis Mihaqlovic Dubnikov は火曜日、悪名高いランサムウェア グループ Ryuk のために 3 年以上にわたってマネーロンダリングを行ったとして有罪を認めました。
CISA が ESXiArgs ランサムウェアの被害者向けのリカバリ スクリプトをリリース
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、最近広まった ESXiArgs ランサムウェア攻撃によって暗号化された VMware ESXi サーバーを回復するためのスクリプトをリリースしました。
新しい Chaos ランサムウェアの亜種
PCrisk は、ランダムな拡張子 (.1iyT6bav7VyWM5) と思われるものを追加し、 adrianov.txtという名前の身代金メモをドロップする新しい Chaos ランサムウェアの亜種を発見しました。
2023 年 2 月 8 日
新しい ESXiArgs ランサムウェア バージョンにより、VMware ESXi の回復が妨げられる
新しい ESXiArgs ランサムウェア攻撃は現在、より大量のデータを暗号化しているため、暗号化された VMware ESXi 仮想マシンを復元することは、不可能ではないにしても、はるかに困難になっています。
興味深いエクスプロイトによる侵入の調査
問題のイベントを調査し、根本原因分析 (RCA) を追求することで、Huntress は、この侵入を、最近発表された脆弱性と、著名なランサムウェア グループに関連する長期にわたるエクスプロイト後のフレームワークに関連付けることができました。
2023 年 2 月 9 日
カナダ最大の書店 Indigo がサイバー攻撃を受けてサイトを閉鎖
カナダ最大の書店チェーンである Indigo Books & Music は昨日、サイバー攻撃に見舞われ、同社は顧客が Web サイトを利用できなくなり、現金支払いのみを受け付けるようになりました。
米国と英国の制裁 TrickBot と Conti ランサムウェア運用メンバー
米国と英国は、TrickBot サイバー犯罪グループに関与したとして、7 人のロシア人に制裁を科しました。TrickBot のマルウェアは、Conti および Ryuk ランサムウェア操作による攻撃をサポートするために使用されました。
新しい STOP ランサムウェアの亜種
PCrisk は、拡張子.vvmmを追加する新しい STOP ランサムウェアの亜種を発見しました。
2023 年 2 月 10 日
A10 Networks が Play ランサムウェア攻撃後のデータ侵害を確認
カリフォルニアに本拠を置くネットワーク ハードウェア メーカー「A10 Networks」は、Play ランサムウェア ギャングが一時的に IT インフラストラクチャにアクセスし、データを侵害したことを確認しました。
Clop ランサムウェアが GoAnywhere ゼロデイ攻撃の背後にあると主張
Clop ランサムウェア ギャングは、GoAnywhere MFT セキュア ファイル転送ツールのゼロデイ脆弱性を悪用した最近の攻撃の背後にいると主張し、130 を超える組織からデータを盗んだと述べています。
医療基金の政府運営に対する北朝鮮のランサムウェア攻撃
米国のサイバーセキュリティ & インフラストラクチャ セキュリティ エージェンシー (CISA) からの新しいサイバーセキュリティ アドバイザリでは、最近観察された、公衆衛生およびその他の重要なインフラストラクチャ セクターに対する北朝鮮のランサムウェア操作で観察された戦術、技術、および手順 (TTP) について説明しています。
新しい STOP ランサムウェアの亜種
PCrisk は、拡張子.vvooを追加する新しい STOP ランサムウェアの亜種を発見しました。
コメント