【ニュース】

◆The Week in Ransomware - September 9th 2022 - Schools under fire (BleepingComputer, 2022/09/09 16:14)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-9th-2022-schools-under-fire/

【詳細】

■2022年9月3日 (土)

◆PLAY Ransomware analysis (ChuongDong, 2022/09/03)
https://chuongdong.com/reverse%20engineering/2022/09/03/PLAYRansomware/
⇒ https://malware-log.hatenablog.com/entry/2022/09/03/000000_2

これは、PLAY Ransomwareに対する私の分析です。私は、そのアンチ
解析と暗号化機能にのみ焦点を当てます。DLLインジェクションやネ
ットワーキングなど、この分析では取り上げない機能もいくつかあり
ます

■2022年9月5日 (月)

◆QNAP patches zero-day used in new Deadbolt ransomware attacks (BleepingComputer, 2022/09/05 11:49)
[QNAP、新たなランサムウェア攻撃「Deadbolt」に使われたゼロデイにパッチを適用]
https://www.bleepingcomputer.com/news/security/qnap-patches-zero-day-used-in-new-deadbolt-ransomware-attacks/
⇒ https://malware-log.hatenablog.com/entry/2022/09/05/000000_7

QNAPは、Photo Stationのゼロデイ脆弱性を悪用して土曜日に始まっ
た進行中のDeadBoltランサムウェア攻撃について、お客様に警告を発
しています

◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/05)

Ransomware: STOP
拡張子: .oopu / .oodt / .oovb

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-9th-2022-schools-under-fire/

■2022年9月6日 (火)

◆InterContinental Hotels Group cyberattack disrupts booking systems (BleepingComputer, 2022/09/06 13:11)
[インターコンチネンタルホテルズグループのサイバー攻撃により、予約システムに支障が発生]
https://www.bleepingcomputer.com/news/security/intercontinental-hotels-group-cyberattack-disrupts-booking-systems/
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_2

大手ホスピタリティ企業のインターコンチネンタルホテルズグループ
PLC（通称IHGホテル＆リゾート）は、同社のネットワークが侵害され、
昨日から情報技術（IT）システムに支障をきたしていると発表してい
ます

◆Second largest U.S. school district LAUSD hit by ransomware (BleepingComputer, 2022/09/06 07:41)
[米国第二の学区LAUSDが身代金要求の被害に遭う]
https://www.bleepingcomputer.com/news/security/second-largest-us-school-district-lausd-hit-by-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_3

米国で2番目に大きな学区であるLos Angeles Unified（LAUSD）は、
週末にランサムウェア攻撃が同社の情報技術（IT）システムを襲った
ことを明らかにしました

◆FBI warns of Vice Society ransomware attacks on school district (BleepingComputer, 2022/09/06 14:37)
[FBI、学区を狙ったランサムウェア攻撃「Vice Society」を警告]
https://www.bleepingcomputer.com/news/security/fbi-warns-of-vice-society-ransomware-attacks-on-school-districts/

FBI、CISA、MS-ISACは本日、米国の学区がランサムウェアグループ「
Vice Society」の標的となりつつあり、新学期開始後にさらなる攻撃
が予想されると警告しています

◆TTPs Associated With a New Version of the BlackCat Ransomware (SecurityScorecad, 2022/09/06)
https://securityscorecard.com/blog/ttps-associated-with-new-version-of-blackcat-ransomware
⇒ https://malware-log.hatenablog.com/entry/2022/09/06/000000_5

当社のデジタルフォレンジック＆インシデントレスポンス（DFIR）チ
ームは、ランサムウェアの感染調査に従事しました。このマルウェア
が、これまで文書化されていなかった新しいコマンドラインパラメー
タを追加していたことから、関与したランサムウェアはBlackCatラン
サムウェアの新バージョンであると判断することが出来ました

■2022年9月7日 (水)

◆Google says former Conti ransomware members now attack Ukraine (BleepingComputer, 2022/09/07 07:00)
[Google、元Contiランサムウェアのメンバーが今度はウクライナを攻撃すると発表]
https://www.bleepingcomputer.com/news/security/google-says-former-conti-ransomware-members-now-attack-ukraine/
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_8

Googleによると、現在UAC-0098として追跡されている脅威グループの
一部である元コンティサイバー犯罪組織のメンバーは、ウクライナの
組織やヨーロッパの非政府組織（NGO）を標的にしているとのことで
す。

◆Ransomware gang's Cobalt Strike servers DDoSed with anti-Russia messages (BleepingComputer, 2022/09/07 09:09)
https://www.bleepingcomputer.com/news/security/ransomware-gangs-cobalt-strike-servers-ddosed-with-anti-russia-messages/
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_9

誰かが、ランサムウェアContiの元メンバーが運営するCobalt
Strikeサーバーに反ロシアのメッセージを流し、彼らの活動を妨害し
ているのだそうです。

◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/07)

Ransomware: STOP
拡張子: .mmpu / .mmvb / .mmdt

https://twitter.com/pcrisk/status/1567420363151130625

◆Bloody ransomware sample found (PCrisk(Twitter), 2022/09/07)

Ransomware: Bloody
拡張子: .bl00dy, Ransomnote: How To Restore Your Files.txt

https://twitter.com/pcrisk/status/1567423454491680769

◆Conti vs. Monti: A Reinvention or Just a Simple Rebranding? (INTEL471, 2022/09/07)
https://intel471.com/blog/conti-vs-monti-a-reinvention-or-just-a-simple-rebranding
⇒ https://malware-log.hatenablog.com/entry/2022/09/07/000000_10

ContiがMontiにリブランディングされた鉄壁の証拠はないものの、
Contiのソースは2022年3月に公に流出したものです。したがって、誰
でも公開されているソースコードを使用して、Contiをベースにした
独自のランサムウェアを作成できる可能性があります。分解されたコ
ードの分析から、これはMontiのケースである可能性があります。
Montiのエントリーポイントは、以下に見られるようにContiと非常に
よく似ています。したがって、MontiはContiの再ブランドであるか、
または単に上記の流出したソースコードを使用して開発された新しい
ランサムウェアの亜種である可能性があります。

■2022年9月8日 (木)

◆Microsoft: Iranian hackers encrypt Windows systems using BitLocker (BleepingComputer, 2022/09/08)
[マイクロソフト イランのハッカーはBitLockerを使ってWindowsシステムを暗号化する]
https://www.bleepingcomputer.com/news/microsoft/microsoft-iranian-hackers-encrypt-windows-systems-using-bitlocker/
⇒ https://malware-log.hatenablog.com/entry/2022/09/08/000000_5

マイクロソフトによると、DEV-0270（別名Nemesis Kitten）として追
跡しているイランの国家支援による脅威グループが、被害者のシステ
ムを暗号化する攻撃においてBitLocker Windows機能を悪用している
とのことです

◆New Ballacks Ransomware (PCrisk(Twitter), 2022/09/08)

Ransomware: Ballacks
拡張子: .ballacks, Ransomnote: ReadthisforDecode.txt

https://twitter.com/pcrisk/status/1567784165067612160

◆New DoyUk ransomware (PCrisk(Twitter), 2022/09/08)

Ransomware: DoyUk
拡張子: .doyuk, Ransomnote: Restore Your Files.txt

https://twitter.com/pcrisk/status/1567795480716779520

■2022年9月9日 (金)

◆Vice Society claims LAUSD ransomware attack, theft of 500GB of data (BleepingComputer, 2022/09/09)
[Vice Society 、LAUSDのランサムウェア攻撃、500GBのデータ盗難を主張]
https://www.bleepingcomputer.com/news/security/vice-society-claims-lausd-ransomware-attack-theft-of-500gb-of-data/
⇒ https://malware-log.hatenablog.com/entry/2022/09/09/000000_3

週末に米国第2位の学区であるLos Angeles Unified（LAUSD）を襲っ
たランサムウェア攻撃について、Vice Societyのギャングが犯行声明
を出しています

◆New MLF ransomware (PCrisk(Twitter), 2022/09/09)

Ransomware: MLF
拡張子: .MLF

https://twitter.com/pcrisk/status/1568088438578061314

【関連まとめ記事】

◆全体まとめ
　◆資料・報告書 (まとめ)

◆The Week in Ransomware (まとめ)
https://malware-log.hatenablog.com/entry/The_Week_in_Ransomware