【ニュース】

◆The Week in Ransomware - September 16th 2022 - Iranian Sanctions (BleepingComputer, 2022/09/16)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-16th-2022-iranian-sanctions/

【詳細】

■2022年9月10日 (土)

◆Ransomware gangs switching to new intermittent encryption tactic (BleepingComputer, 2022/09/10 10:07)
[ランサムウェアのギャングが断続的な暗号化の新手法に切り替わる]
https://www.bleepingcomputer.com/news/security/ransomware-gangs-switching-to-new-intermittent-encryption-tactic/
⇒ https://malware-log.hatenablog.com/entry/2022/09/10/000000

ランサムウェアのグループが、被害者のシステムをより速く暗号化す
る一方で、検知・阻止される可能性を低くする新たな戦術を採用する
ケースが増えてきています。

◆The Neverending Story of Deadbolt (Censys, 2022/09/10)
[Deadboltの終わりなき物語]
https://censys.wpengine.com/the-neverending-story-of-deadbolt/
⇒ https://malware-log.hatenablog.com/entry/2022/09/10/000000_1

しかし、最近、CensysはDeadboltに感染したQNAPデバイスが大量に増
加していることを確認しました。Deadboltの仲間は活動を活発化させ
ており、被害者の数は日々増えています。

■2022年9月12日 (月)

◆Cisco confirms Yanluowang ransomware leaked stolen company data (BleepingComputer, 2022/09/12 04:21)
[シスコ、ランサムウェア「Yanluowang」から盗まれた企業データが流出したことを確認]
https://www.bleepingcomputer.com/news/security/cisco-confirms-yanluowang-ransomware-leaked-stolen-company-data/
⇒ https://malware-log.hatenablog.com/entry/2022/09/12/000000_2

シスコは、昨日流出したYanluowangランサムウェア一味のデータは、
5月のサイバー攻撃で同社のネットワークから盗まれたものであるこ
とを確認しました。

◆Lorenz ransomware breaches corporate network via phone systems (BleepingComputer, 2022/09/12 12:00)
[電話システム経由で企業ネットワークに侵入するランサムウェア「Lorenz」]
https://www.bleepingcomputer.com/news/security/lorenz-ransomware-breaches-corporate-network-via-phone-systems/
⇒ https://malware-log.hatenablog.com/entry/2022/09/12/000000

この「Lorenz」ランサムウェアは、Mitel MiVoice VOIPアプライアン
スの重大な脆弱性を利用して企業に侵入し、その電話システムを利用
して企業ネットワークに初期アクセスします。

◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/12)

Ransomware: STOP
拡張子: .eemv / .eewt

https://twitter.com/pcrisk/status/1569216173903941632

◆New Scam ransomware variant (PCrisk(Twitter), 2022/09/12)

Ransomware: Scam
拡張子: .scam, Ransomnote: read_it.txt

https://twitter.com/pcrisk/status/1569269403404959745

◆New Babuk ransomware variant (PCrisk(Twitter), 2022/09/12)

Ransomware: Babuk
拡張子: .demon, Ransomnote: How To Recover Your Files.txt

https://twitter.com/pcrisk/status/1569273812591706113

■2022年9月14日 (水)

◆US govt sanctions ten Iranians linked to ransomware attacks (BleepingComputer, 2022/10/14 11:43)
[米国政府、ランサムウェア攻撃に関連するイラン人10名に制裁措置]
https://www.bleepingcomputer.com/news/security/us-govt-sanctions-ten-iranians-linked-to-ransomware-attacks/
⇒ https://malware-log.hatenablog.com/entry/2022/09/14/000000_5

財務省外国資産管理局（OFAC）は本日、ランサムウェア攻撃に関与し
たとして、イラン・イスラム革命防衛隊（IRGC）に所属する10人の個
人と2つの団体に対する制裁を発表しました

◆La Legislatura porteña se recupera tras el ciberataque pero no dice qué información está comprometida (Clarin, 2022/09/14 15:38)
[ブエノスアイレス州議会はサイバー攻撃から回復したが、どのような情報が漏洩したかは明言しない]
https://www.clarin.com/tecnologia/legislatura-portena-recupera-ciberataque-dice-informacion-comprometida_0_P7s5jLAsRY.html
⇒ https://malware-log.hatenablog.com/entry/2022/09/14/000000_6

ブエノスアイレス市立議会は、先週日曜日に受けたサイバー攻撃から
徐々に回復しています。パスワードを変更し、感染したコンピュータ
ーを切り離した後、WiFiを再び有効にし、地域ごとに1台のコンピュ
ーターを復旧させて議会の仕事を続行しました。しかし、どのような
情報が漏洩したのか、どのような種類の攻撃だったのかは公表してい
ません

◆Alert (AA22-257A) Iranian Islamic Revolutionary Guard Corps-Affiliated Cyber Actors Exploiting Vulnerabilities for Data Extortion and Disk Encryption for Ransom Operations (CISA, 2022/09/14)
[イラン・イスラム革命防衛隊系のサイバー犯罪者が、データ強奪と身代金要求のためのディスク暗号化のために脆弱性を悪用している]
https://www.cisa.gov/uscert/ncas/alerts/aa22-257a

この勧告は、共同CSA「Iranian Government-Sponsored APT Cyber
Actors Exploiting Microsoft Exchange and Fortinet
Vulnerabilities in Furtherance of Malicious Activities」を更新
するものです。この勧告では、イラン政府支援のAPT行為者が、身代
金要求などの悪質な行為のために、FortinetとMicrosoft Exchangeの
既知の脆弱性を利用して、標的となる幅広い事業体に初期アクセスを
取得したことについて情報を記載しています。現在、作成機関は、こ
れらの行為者がIRGCに所属するAPTグループであると判断しています。

◆New Dharma ransomware variant (PCrisk(Twitter), 2022/09/14)

Ransomware: Dharma
拡張子: .gnik

https://twitter.com/pcrisk/status/1569908936454688769

◆New STOP ransomware variant (PCRisk(Twitter), 2022/09/14)

Ransomware: STOP
拡張子: .eeyu

https://twitter.com/pcrisk/status/1569957162461368320

◆New Snatch ransomware variant (PCRisk(Twitter), 2022/09/14)

Ransomware: Snatch
拡張子: .winxvykljw

https://twitter.com/pcrisk/status/1569955785219645440

■2022年9月15日 (木)

◆Hive ransomware claims cyberattack on Bell Canada subsidiary (BleepingComputer, 2022/09/15 15:10)
[Hive ランサムウェアがベル・カナダ子会社へのサイバー攻撃を主張]
https://www.bleepingcomputer.com/news/security/hive-ransomware-claims-cyberattack-on-bell-canada-subsidiary/
⇒ https://malware-log.hatenablog.com/entry/2022/09/15/000000

ランサムウェア集団「Hive」が、ベル・カナダ子会社のベル・テクニ
カル・ソリューションズ（BTS）のシステムを攻撃した責任を主張し
ています

◆A Detailed Analysis of the Quantum Ransomware (SecurityScorecard, 2022/09/15)
https://securityscorecard.pathfactory.com/research/quantum-ransomware

Quantum ランサムウェアは、MountLocker ランサムウェアのリブラン
ドで、2021 年 8 月に発見されました。このマルウェアは、プロセス
やサービスのリストを停止し、Windowsドメインまたはローカルネッ
トワークで見つかったマシン、およびネットワーク共有リソースを暗
号化することができます。.log」と呼ばれるファイルにすべての活動
を記録し、コンピューター名のXOR暗号化であるクライアントIDを計
算します

◆New STOP ransomware variant (PCRisk(Twitter), 2022/09/15)

Ransomware: STOP
拡張子: .eebn

https://twitter.com/pcrisk/status/1570288264208338944

◆New BISAMWARE ransomware (PCRisk(Twitter), 2022/09/15)

Ransomware: BISAMWARE
拡張子: .BISAMWARE, Ransomnote: SYSTEM=RANSOMWARE=INFECTED.TXT

https://twitter.com/pcrisk/status/1570342395581206531

■2022年9月16日 (金)

◆Bitdefender releases free decryptor for LockerGoga ransomware (BleepingComputer, 2022/09/16 11:09)
https://www.bleepingcomputer.com/news/security/bitdefender-releases-free-decryptor-for-lockergoga-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/09/16/000000_4

【関連まとめ記事】

◆全体まとめ
　◆資料・報告書 (まとめ)

◆The Week in Ransomware (まとめ)
https://malware-log.hatenablog.com/entry/The_Week_in_Ransomware