TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

The Week in Ransomware - September 23rd 2022 - LockBit leak

【ニュース】

◆The Week in Ransomware - September 23rd 2022 - LockBit leak (BleepingComputer, 2022/09/23)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-23rd-2022-lockbit-leak/

今週は、LockBit社のプログラマーがLockBit 3.0暗号化プログラムの
ランサムウェアビルダーを流出させ、LockBit社のランサムウェア運
営を困惑させる事態が発生しました。

ランサムウェア・ビルダーを実行するのは簡単で、バッチファイルを
実行するだけで、暗号化装置、秘密/公開暗号化キー、および復号化
装置を素早く作成することができます。

LockBit 3.0 ランサムウェアビルダーは、同梱の設定ファイルを変更
するだけで、脅威となりうる人物が独自のオペレーションを展開する
ことを容易にするもので、カスタムランサムノートを使用することが
できます。



【詳細】

■2022年9月17日 (土)

◆New York ambulance service discloses data breach after ransomware attack (BleepingComputer, 2022/09/17)
[ニューヨークの救急車サービス、ランサムウェア攻撃によるデータ流出を公表]
https://www.bleepingcomputer.com/news/security/new-york-ambulance-service-discloses-data-breach-after-ransomware-attack/

ニューヨークを拠点とする救急対応・救急車サービスのEmpress EMS
(Emergency Medical Services)は、顧客情報が流出するデータ侵害を
公表しました。


■2022年9月19日 (月)

◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/19)

Ransomware: STOP
拡張子: .aawt / .aabn / .aamv / .aayu

https://twitter.com/pcrisk/status/1571751669549137921

◆New Phobos variant (PCrisk(Twitter), 2022/09/19)

Ransomware: Phobos
拡張子: .duck, Ransomnote: info.txt / info.hta

https://twitter.com/pcrisk/status/1571723997552971778

◆New VoidCrypt variant (PCrisk(Twitter), 2022/09/19)

Ransomware: VoidCrypt
拡張子: .Joker, Ransomnote: Decryption-Guide.txt / Decryption-Guide.HTA

https://twitter.com/pcrisk/status/1571771268780756994

◆New VSOP variant (PCrisk(Twitter), 2022/09/19)

Ransomware: VSOP
拡張子: .minex, Ransomnote: readme.txt

https://twitter.com/pcrisk/status/1571794243793854472


■2022年9月20日 (火)

◆Hive ransomware claims attack on New York Racing Association (BleepingComputer, 2022/09/20)
[ニューヨーク競馬協会への攻撃を主張するランサムウェア「Hive」]
https://www.bleepingcomputer.com/news/security/hive-ransomware-claims-attack-on-new-york-racing-association/
https://malware-log.hatenablog.com/entry/2022/09/20/000000_1

◆New BlackBit ransomware (PCrisk(Twitter), 2022/09/20)

Ransomware: BlackBit
拡張子: .BlackBit, Ransomnote: Restore-My-Files.txt / info.hta

https://twitter.com/pcrisk/status/1572121719803879424


■2022年9月21日 (水)

◆LockBit ransomware builder leaked online by “angry developer” (BleepingComputer, 2022/09/21)
[LockBitランサムウェアのビルダーが "怒れる開発者 "によってオンラインに流出。]
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/
https://malware-log.hatenablog.com/entry/2022/09/21/000000

ロックビット社のランサムウェアに侵入があり、不満を持つ開発者が
ロックビット社の最新暗号化ソフトのビルドを流出させたと言われて
います

◆Technical Analysis of Crytox Ransomware (Zscaler, 2022/09/21)
[Crytox Ransomwareの技術的分析]
https://www.zscaler.com/blogs/security-research/technical-analysis-crytox-ransomware

Crytoxランサムウェアを使用する脅威アクターは、少なくとも2020年
から活動していますが、他の多くのランサムウェアファミリーに比べ
て注目度は著しく低くなっています。2021年9月、オランダに拠点を
置く企業RTLは、脅威アクターによって侵害されたことを公に認めま
した。同社はCrytoxに8,500ユーロを支払いました。現在の身代金要
求額と比較すると、この金額は比較的低額です。多くのランサムウェ
アグループとは異なり、Crytoxの脅威者は、データを暗号化して身代
金を要求する二重の恐喝攻撃は行いません。


■2022年9月22日 (木)

◆BlackCat ransomware’s data exfiltration tool gets an upgrade (BleepingComputer, 2022/09/22 06:00)
[BlackCatランサムウェアのデータ流出ツールがアップグレードされる]
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-s-data-exfiltration-tool-gets-an-upgrade/
https://malware-log.hatenablog.com/entry/2022/09/22/000000_4

BlackCatランサムウェア(別名ALPHV)の勢いは衰えることを知らず、
その進化を示す最新の例として、二重の恐喝攻撃に使用されるデータ
流出ツールの新バージョンが挙げられます

◆Quick Overview of Leaked LockBit 3.0 (Black) builder program (S2W, 2022/09/22)
[流出したLockBit 3.0 (Black)ビルダープログラムの簡単な概要]
https://medium.com/s2wblog/quick-overview-of-leaked-lockbit-3-0-black-builder-program-880ae511d085
https://malware-log.hatenablog.com/entry/2022/09/22/000000_5

Build.batは、Keygen.exeを実行してRSA公開鍵/秘密鍵ペアを作成し、
生成された鍵ペアを用いてLockBit 3.0ランサムウェアを生成する
Builder.exeを実行します

◆A TECHNICAL ANALYSIS OF THE LEAKED LOCKBIT 3.0 BUILDER (Cyber Geeks, 2022/09/22)
[流出したLockbit 3.0 Builderのテクニカル分析]
https://cybergeeks.tech/a-technical-analysis-of-the-leaked-lockbit-3-0-builder/
https://cybergeeks.tech/a-technical-analysis-of-the-leaked-lockbit-3-0-builder/

2022年9月21日にネット上に流出した「LockBit 3.0」ビルダーについ
て分析したものです

◆Ransomware disguised as GTA 6 source code (MalwareHunterTeam(Twitter), 2022/09/22)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-23rd-2022-lockbit-leak/

MalwareHunterTeamは、GTA 6のソースコードを装ったランサムウェア
サンプルをいくつか発見しました

◆New Zeppelin variant (PCrisk, 2022/09/22)

Ransomware: Zeppelin
拡張子: .ORCA, Ransomnote: HOW_TO_RECOVER_DATA.hta ransom note

https://twitter.com/pcrisk/status/1572854186609459200


■2022年9月23日 (金)

◆New STOP Ransomware variants (PCrisk(Twitter), 2022/09/22)

Ransomware: STOP
拡張子: .ofoq / .ofww / .oflg

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-23rd-2022-lockbit-leak/

◆FARGO Ransomware (Mallox) Being Distributed to Unsecured MS-SQL Servers (Ahnlab, 2022/09/23)
[FARGO ランサムウェア (Mallox) が安全でない MS-SQL サーバーに配布されている件]
https://asec.ahnlab.com/en/39152/

ASECの解析チームは、脆弱性のあるMS-SQLサーバに配布されるマルウ
ェアを常時監視しています。この度、解析チームは、脆弱性のある
MS-SQLサーバを狙うランサムウェア「FARGO」の配布を発見しました。
FARGOは、GlobeImposterと並んで、脆弱性のあるMS-SQLサーバーを狙
う著名なランサムウェアの一つです。過去には、ファイル拡張子.
malloxを使用していたため、Malloxとも呼ばれていました


【関連まとめ記事】

全体まとめ
 ◆資料・報告書 (まとめ)

◆The Week in Ransomware (まとめ)
https://malware-log.hatenablog.com/entry/The_Week_in_Ransomware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023