【ニュース】
◆The Week in Ransomware - September 9th 2022 - Schools under fire (BleepingComputer, 2022/09/09 16:14)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-9th-2022-schools-under-fire/
【詳細】
■2022年9月3日 (土)
◆PLAY Ransomware analysis (ChuongDong, 2022/09/03)
https://chuongdong.com/reverse%20engineering/2022/09/03/PLAYRansomware/
⇒ https://malware-log.hatenablog.com/entry/2022/09/03/000000_2
これは、PLAY Ransomwareに対する私の分析です。私は、そのアンチ
解析と暗号化機能にのみ焦点を当てます。DLLインジェクションやネ
ットワーキングなど、この分析では取り上げない機能もいくつかあり
ます
■2022年9月5日 (月)
◆QNAP patches zero-day used in new Deadbolt ransomware attacks (BleepingComputer, 2022/09/05 11:49)
[QNAP、新たなランサムウェア攻撃「Deadbolt」に使われたゼロデイにパッチを適用]
https://www.bleepingcomputer.com/news/security/qnap-patches-zero-day-used-in-new-deadbolt-ransomware-attacks/
⇒ https://malware-log.hatenablog.com/entry/2022/09/05/000000_7
QNAPは、Photo Stationのゼロデイ脆弱性を悪用して土曜日に始まっ
た進行中のDeadBoltランサムウェア攻撃について、お客様に警告を発
しています
◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/05)
Ransomware: STOP
拡張子: .oopu / .oodt / .oovb
■2022年9月6日 (火)
◆InterContinental Hotels Group cyberattack disrupts booking systems (BleepingComputer, 2022/09/06 13:11)
[インターコンチネンタルホテルズグループのサイバー攻撃により、予約システムに支障が発生]
https://www.bleepingcomputer.com/news/security/intercontinental-hotels-group-cyberattack-disrupts-booking-systems/
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_2
大手ホスピタリティ企業のインターコンチネンタルホテルズグループ
PLC(通称IHGホテル&リゾート)は、同社のネットワークが侵害され、
昨日から情報技術(IT)システムに支障をきたしていると発表してい
ます
◆Second largest U.S. school district LAUSD hit by ransomware (BleepingComputer, 2022/09/06 07:41)
[米国第二の学区LAUSDが身代金要求の被害に遭う]
https://www.bleepingcomputer.com/news/security/second-largest-us-school-district-lausd-hit-by-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_3
米国で2番目に大きな学区であるLos Angeles Unified(LAUSD)は、
週末にランサムウェア攻撃が同社の情報技術(IT)システムを襲った
ことを明らかにしました
◆FBI warns of Vice Society ransomware attacks on school district (BleepingComputer, 2022/09/06 14:37)
[FBI、学区を狙ったランサムウェア攻撃「Vice Society」を警告]
https://www.bleepingcomputer.com/news/security/fbi-warns-of-vice-society-ransomware-attacks-on-school-districts/
FBI、CISA、MS-ISACは本日、米国の学区がランサムウェアグループ「
Vice Society」の標的となりつつあり、新学期開始後にさらなる攻撃
が予想されると警告しています
◆TTPs Associated With a New Version of the BlackCat Ransomware (SecurityScorecad, 2022/09/06)
https://securityscorecard.com/blog/ttps-associated-with-new-version-of-blackcat-ransomware
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_5
当社のデジタルフォレンジック&インシデントレスポンス(DFIR)チ
ームは、ランサムウェアの感染調査に従事しました。このマルウェア
が、これまで文書化されていなかった新しいコマンドラインパラメー
タを追加していたことから、関与したランサムウェアはBlackCatラン
サムウェアの新バージョンであると判断することが出来ました
■2022年9月7日 (水)
◆Google says former Conti ransomware members now attack Ukraine (BleepingComputer, 2022/09/07 07:00)
[Google、元Contiランサムウェアのメンバーが今度はウクライナを攻撃すると発表]
https://www.bleepingcomputer.com/news/security/google-says-former-conti-ransomware-members-now-attack-ukraine/
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_8
Googleによると、現在UAC-0098として追跡されている脅威グループの
一部である元コンティサイバー犯罪組織のメンバーは、ウクライナの
組織やヨーロッパの非政府組織(NGO)を標的にしているとのことで
す。
◆Ransomware gang's Cobalt Strike servers DDoSed with anti-Russia messages (BleepingComputer, 2022/09/07 09:09)
https://www.bleepingcomputer.com/news/security/ransomware-gangs-cobalt-strike-servers-ddosed-with-anti-russia-messages/
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_9
誰かが、ランサムウェアContiの元メンバーが運営するCobalt
Strikeサーバーに反ロシアのメッセージを流し、彼らの活動を妨害し
ているのだそうです。
◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/07)
Ransomware: STOP
拡張子: .mmpu / .mmvb / .mmdt
◆Bloody ransomware sample found (PCrisk(Twitter), 2022/09/07)
Ransomware: Bloody
拡張子: .bl00dy, Ransomnote: How To Restore Your Files.txt
◆Conti vs. Monti: A Reinvention or Just a Simple Rebranding? (INTEL471, 2022/09/07)
https://intel471.com/blog/conti-vs-monti-a-reinvention-or-just-a-simple-rebranding
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_10
ContiがMontiにリブランディングされた鉄壁の証拠はないものの、
Contiのソースは2022年3月に公に流出したものです。したがって、誰
でも公開されているソースコードを使用して、Contiをベースにした
独自のランサムウェアを作成できる可能性があります。分解されたコ
ードの分析から、これはMontiのケースである可能性があります。
Montiのエントリーポイントは、以下に見られるようにContiと非常に
よく似ています。したがって、MontiはContiの再ブランドであるか、
または単に上記の流出したソースコードを使用して開発された新しい
ランサムウェアの亜種である可能性があります。
■2022年9月8日 (木)
◆Microsoft: Iranian hackers encrypt Windows systems using BitLocker (BleepingComputer, 2022/09/08)
[マイクロソフト イランのハッカーはBitLockerを使ってWindowsシステムを暗号化する]
https://www.bleepingcomputer.com/news/microsoft/microsoft-iranian-hackers-encrypt-windows-systems-using-bitlocker/
⇒ https://malware-log.hatenablog.com/entry/2022/09/08/000000_5
マイクロソフトによると、DEV-0270(別名Nemesis Kitten)として追
跡しているイランの国家支援による脅威グループが、被害者のシステ
ムを暗号化する攻撃においてBitLocker Windows機能を悪用している
とのことです
◆New Ballacks Ransomware (PCrisk(Twitter), 2022/09/08)
Ransomware: Ballacks
拡張子: .ballacks, Ransomnote: ReadthisforDecode.txt
◆New DoyUk ransomware (PCrisk(Twitter), 2022/09/08)
Ransomware: DoyUk
拡張子: .doyuk, Ransomnote: Restore Your Files.txt
■2022年9月9日 (金)
◆Vice Society claims LAUSD ransomware attack, theft of 500GB of data (BleepingComputer, 2022/09/09)
[Vice Society 、LAUSDのランサムウェア攻撃、500GBのデータ盗難を主張]
https://www.bleepingcomputer.com/news/security/vice-society-claims-lausd-ransomware-attack-theft-of-500gb-of-data/
⇒ https://malware-log.hatenablog.com/entry/2022/09/09/000000_3
週末に米国第2位の学区であるLos Angeles Unified(LAUSD)を襲っ
たランサムウェア攻撃について、Vice Societyのギャングが犯行声明
を出しています
◆New MLF ransomware (PCrisk(Twitter), 2022/09/09)
Ransomware: MLF
拡張子: .MLF
【関連まとめ記事】
◆The Week in Ransomware (まとめ)
https://malware-log.hatenablog.com/entry/The_Week_in_Ransomware