【ニュース】

◆The Week in Ransomware - June 25th 2021 - Back in Business (BleepingComputer, 2021/06/25 19:09)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-june-25th-2021-back-in-business/

【詳細】

■2021年6月19日(土)

◆New APIS Wiper (GrujaRS(Twitter), 2021/06/19)
[新型APISワイパー ]
https://twitter.com/GrujaRS/status/1406253537919705090

◆New ransomware targeting WD NAS devices (Amigo-A(Twitter), 2021/06/19)
[WD製NASデバイスを狙う新たなランサムウェア]

Ransomware: 0XXX
拡張子: .0xxx, Ransomnote: !0XXX_DECRYPTION_README.TXT

https://twitter.com/Amigo_A_/status/1407263047845023744

■2021年6月21日(月)

◆Data leak marketplace pressures victims by emailing competitors (BleepingComputer, 2021/06/21 11:13)
[データ漏洩市場では、競合他社にメールを送って被害者に圧力をかける]
https://www.bleepingcomputer.com/news/security/data-leak-marketplace-pressures-victims-by-emailing-competitors/
⇒ https://malware-log.hatenablog.com/entry/2021/06/21/000000_5

◆ADATA suffers 700 GB data leak in Ragnar Locker ransomware attack (BleepingComputer, 2021/06/21 11:56)
[ADATA、ランサムウェア「Ragnar Locker」の攻撃により700GBのデータが流出 ]
https://www.bleepingcomputer.com/news/security/adata-suffers-700-gb-data-leak-in-ragnar-locker-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/06/21/000000_6

■2021年6月22日(火)

◆Mysterious ransomware payment traced to a sensual massage site (BleepingComputer, 2021/06/22 10:09)
[謎のランサムウェアの支払いは官能的なマッサージサイトにたどり着く]
https://www.bleepingcomputer.com/news/security/mysterious-ransomware-payment-traced-to-a-sensual-massage-site/
⇒ https://malware-log.hatenablog.com/entry/2021/06/22/000000_2

◆New Rapid Ransomware variant (dnwls0719(Twitter), 2021/06/22)
[新しいRapid Ransomwareの亜種]

Ransomware: Rapid
拡張子: .snoopdog

https://twitter.com/fbgwls245/status/1407528925501157376

■2021年6月23日(水)

◆Healthcare giant Grupo Fleury hit by REvil ransomware attack (BleepingComputer, 2021/06/23 16:00)
[医療機関大手のGrupo Fleury社がランサムウェア「REvil」の攻撃を受ける]
https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by-revil-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/06/23/000000_4

◆Clop ransomware is back in business after recent arrests (BleepingComputer, 2021/06/23 03:35)
[ランサムウェア「Clop」が最近の逮捕者を受けて再登場]
https://www.bleepingcomputer.com/news/security/clop-ransomware-is-back-in-business-after-recent-arrests/
⇒ https://malware-log.hatenablog.com/entry/2021/06/23/000000

◆Tulsa warns of data breach after Conti ransomware leaks police citations (BleepingComputer, 2021/06/23 11:53)
https://www.bleepingcomputer.com/news/security/tulsa-warns-of-data-breach-after-conti-ransomware-leaks-police-citations/
⇒ https://malware-log.hatenablog.com/entry/2021/06/23/000000_5

◆PYSA ransomware backdoors education orgs using ChaChi malware (BleepingComputer, 2021/06/23 09:00)
https://www.bleepingcomputer.com/news/security/pysa-ransomware-backdoors-education-orgs-using-chachi-malware/
⇒ https://malware-log.hatenablog.com/entry/2021/06/23/000000_6

◆New Dharma Ransomware variant (Jakub Kroustek(Twitter), 2021/06/23)

Ransomware: Dharma
拡張子: .nmc / .ZEUS

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-june-25th-2021-back-in-business/

◆Ransomware: Growing Number of Attackers Using Virtual Machines (Broadcom, 2021/06/23)
[ランサムウェア。仮想マシンを利用する攻撃者の増加]

Tactic hides ransomware payload and lowers the risk of discovery while encryption process is underway.
[この戦術は、ランサムウェアのペイロードを隠し、暗号化処理中に発見されるリスクを低減します。]

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ransomware-virtual-machines

■2021年6月24日(木)

◆Binance exchange helped track down Clop ransomware money launderers (BleepingComputer, 2021/06/24 15:56)
https://www.bleepingcomputer.com/news/security/binance-exchange-helped-track-down-clop-ransomware-money-launderers/
⇒ https://malware-log.hatenablog.com/entry/2021/06/24/000000_3

◆What We Can Learn From Ransomware Actor "Security Reports" (Coveware, 2021/06/24)

Luckily, some threat actors are more forthcoming. What follows are several case studies from real ransomware negotiations wherein the threat actor provided granular details on the full attack lifecycle, including usernames and passwords of compromised accounts and specific CVE’s leveraged to gain entry. Please note that these reports have not been edited or spell checked and that we redacted identifying information. Additionally, the tactics described by the threat actors herein were validated following thorough forensic investigation.
[幸いなことに、中にはもっと積極的に情報を提供してくれる脅威企業もあります。ここでは、実際に行われたランサムウェアの交渉事例をいくつかご紹介します。ここでは、侵害されたアカウントのユーザ名とパスワード、侵入のために利用された特定のCVEなど、攻撃のライフサイクル全体に関する詳細な情報が脅威の行為者から提供されています。なお、これらのレポートは、編集やスペルチェックを行っておらず、個人情報を再編集していることに留意してください。また、ここに記載されている脅威行為者の手口は、徹底したフォレンジック調査により検証されています。]

https://www.coveware.com/blog/2021/6/24/what-we-can-learn-from-ransomware-actor-security-reports

◆New STOP Ransomware variant (PCrisk(Twitter), 2021/06/24)

Ransomware: Stop
拡張子: .ddsg

https://twitter.com/pcrisk/status/1408066261607583750

■2021年6月25日(金)

◆New Spyro Ransomware (Amigo-A(Twitter), 2021/06/25)

Ransomware: Spyro (STOP Ransomware の亜種)
拡張子: .Spyro, Ransomnote: Decrypt-info.txt

https://twitter.com/Amigo_A_/status/1408415174999130112

【関連まとめ記事】

◆全体まとめ
　◆資料・報告書 (まとめ)

◆The Week in Ransomware (まとめ)
https://malware-log.hatenablog.com/entry/The_Week_in_Ransomware