週はゆっくりと始まりましたが、VMware ESXi サーバーを実行している企業に攻撃が大きな打撃を与えるなど、大きなランサムウェアの混乱に変わりました。
攻撃は金曜日の朝に始まり、脅威アクターは ESXiArgs と呼ばれる新しいランサムウェアの亜種を使用して、パッチが適用されていない VMware ESXi サーバーを標的にしました。
攻撃は迅速かつ広範に行われ、 世界中の管理者がこの新しいキャンペーンで暗号化されたとすぐに報告しました。
この攻撃が非常に壊滅的なものになっているのは、多くの企業がサーバー インフラストラクチャの多くを VMware ESXi 上で運用しており、1 つのデバイスの暗号化で複数のサーバーを同時に暗号化できるようになっているためです。
幸いなことに、一部の管理者はフラット ファイルからディスクを再構築することでサーバーを復旧できましたが、一部の管理者は、これらのファイルも暗号化されていたため、復旧できなかったと報告しています。
また、今週発表された新しい調査も確認されました。Microsoft は、100 を超える脅威アクターがランサムウェアを展開し、LockBit が Conti に基づく新しい復号化ツールの作成を決定したと警告しています。
最後に、REsecurity は、 新しい Nevada ランサムウェアをサービスとして採用し、将来の攻撃に備えているというレポートをリリースしました。
最後に、今週および過去に実行されたランサムウェア攻撃について、次のような詳細を学びました。
- Tallahassee Memorial HealthCare (TMH) は、ランサムウェア攻撃の疑いを受けました。
- アリゾナ州ツーソンとマサチューセッツ州ナンタケットの学校がサイバー攻撃を受け、その 1 つが Royal ランサムウェア攻撃であることが確認されました。
- Arnold Clark は、12 月のランサムウェア攻撃でデータが盗まれたことを確認しました。
- ION Group に対するランサムウェア攻撃により、デリバティブ取引市場が混乱しました。
寄稿者、および今週ランサムウェアに関する新しい情報やストーリーを提供した人々には、@PolarToffee、@セルゲイ、@fwosar、@Bleepinコンピューター、@LawrenceAbrams、@セイフリード、@Ilonut_Ilascu、@malwrhunterteam、@シャギーゲル、@demonslay335、@billtoulas、@vxunderground、@GeekCyber、@PRODAFT、@brkalbyrk7、@REセキュリティ、@MsftSecIntel、@1ZRR4H、@pcrisk、@BrettCallow、@ahnlab、@jgreigj、 と@k7コンピューティング.
2023 年 1 月 30 日
新しいマコップの亜種
PCriskは、拡張子.ZFXを追加し、 +README-WARNING+.txtという名前の身代金メモをドロップする新しい Makop 亜種を発見しました。
2023 年 1 月 31 日
Microsoft: 100 人を超える脅威アクターが攻撃にランサムウェアを展開
マイクロソフトは本日、セキュリティ チームが 100 を超えるランサムウェア ギャングと、昨年末まで積極的に使用されていた 50 を超えるランサムウェア ファミリを追跡していることを明らかにしました。
新しいメイソン ランサムウェア
PCrisk は、 .masons拡張子を追加し、 six62ix.txtという名前の身代金メモをドロップする新しいランサムウェアを発見しました。
新しい Chaos ランサムウェアの亜種
PCrisk は、 .Script拡張子を追加し、 read_it.txtという名前の身代金メモをドロップする新しい Chaos ランサムウェアの亜種を発見しました。
2023 年 2 月 1 日
LockBit ランサムウェアが「グリーン」になり、新しい Conti ベースの暗号化ツールを使用
LockBit ランサムウェア ギャングは、他の操作に基づく暗号化ツールの使用を再び開始しました。今回は Conti ランサムウェアの流出したソース コードに基づくものに切り替えました。
新しい Nevada Ransomware は、Windows および VMware ESXi システムを標的にします
Nevada として知られる比較的新しいランサムウェア オペレーションは、セキュリティ研究者が Windows および VMware ESXi システムを標的とするロッカーの機能が向上していることに気づき、その機能を急速に拡大しているようです。
Play ランサムウェアによる攻撃で Arnold Clark の顧客データが盗まれたと主張
ヨーロッパ最大の独立系自動車小売業者を自称する Arnold Clark は、12 月 23 日のサイバー攻撃で Play ランサムウェア グループが主張した個人情報が盗まれたことを一部の顧客に通知しています。
韓国で配布されている TZW ランサムウェア
内部監視を通じて、ASEC 分析チームは最近、元の拡張子に「TZW」ファイル拡張子を追加する前にファイルを暗号化する TZW ランサムウェアの配布を発見しました。
ナンタケット島ツーソンの K-12 学校がサイバー攻撃に対応
アリゾナ州ツーソンとマサチューセッツ州ナンタケットの学校は、2023 年の最初の数週間、米国の学校が脅威の弾幕に直面し続ける中、サイバー攻撃に対処しています。
新しい Honkai ランサムウェアの亜種
PCrisk は、 .honkaiを追加し、 #DECRYPT MY FILES#.htmlという名前の身代金メモをドロップする新しいランサムウェアの亜種を発見しました。
新しい VoidCrypt ランサムウェアの亜種
PCrisk は、拡張子.sunjnを追加し、 Dectryption-guide.txtという名前の身代金メモをドロップする新しいランサムウェアの亜種を発見しました。
2023 年 2 月 2 日
ION Group へのランサムウェア攻撃がデリバティブ取引市場に影響を与える
LockBit ランサムウェア ギャングは、金融機関、銀行、および企業が取引、投資管理、および市場分析のために製品を使用する、英国を拠点とするソフトウェア会社である ION Group に対するサイバー攻撃の犯行声明を出しました。
ウォーロックダークアーミー「オフィシャル」による身代金
最近、petikvx が共有するツイートを見つけました。このツイートは、WARLOCK DARK ARMY に似たグループ名を持つランサムウェア ファミリに関するものでした。 Chaos ランサムウェアとの類似点は、攻撃者グループの名前にあるようです。ツイートからランサムウェアを分析したところ、マルウェアの属性に基づいて、両方が非常に異なるグループであると思われます。
2023 年 2 月 3 日
フロリダの病院がサイバー攻撃を受けて IT システムをオフラインに
Tallahassee Memorial HealthCare (TMH) は、木曜日遅くのサイバー攻撃を受けて、IT システムをオフラインにし、緊急でない手順を一時停止しました。
大規模な ESXiArgs ランサムウェア攻撃が世界中の VMware ESXi サーバーを標的に
管理者、ホスティング プロバイダー、およびフランスのコンピューター緊急対応チーム (CERT-FR) は、攻撃者が 2 年前に発生したリモート コード実行の脆弱性に対するパッチが適用されていない VMware ESXi サーバーを積極的に標的にして、ランサムウェアを展開していると警告しています。
新しい DoDo ランサムウェア
PCrisk は、拡張子.dodov2を追加し、 dodov2_readit.txtという名前の身代金メモをドロップする新しい DoDo ランサムウェアの亜種を発見しました。
Comments