【ニュース】

◆The Week in Ransomware - October 14th 2022 - Bitcoin Trickery (BleepingComputer, 2022/10/14 18:36)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-october-14th-2022-bitcoin-trickery/

【詳細】

◆2022年10月8日 (土)

◆ADATA denies RansomHouse cyberattack, says leaked data from 2021 breach (BleepingComputer, 2022/10/08 11:18)
[ADATA、RansomHouseのサイバー攻撃を否定、2021年違反のデータが流出したと発表]
https://www.bleepingcomputer.com/news/security/adata-denies-ransomhouse-cyberattack-says-leaked-data-from-2021-breach/
⇒ https://blog.hatena.ne.jp/tanigawa/malware-log.hatenablog.com/edit?openedFrom=globalheader-new-entry

台湾のチップメーカーADATAは、脅威者がデータ漏洩サイトに盗んだ
ファイルを掲載し始めた後、RansomHouseのサイバー攻撃に関する主
張を否定しています

◆2022年10月9日 (日)

◆Fake adult sites push data wipers disguised as ransomware (BleepingComputer, 2022/10/09 10:16)
[偽アダルトサイトがランサムウェアを装ったデータワイパーを押しつける]
https://www.bleepingcomputer.com/news/security/fake-adult-sites-push-data-wipers-disguised-as-ransomware/
⇒https://www.bleepingcomputer.com/news/security/fake-adult-sites-push-data-wipers-disguised-as-ransomware/

悪質なアダルトサイトが偽のランサムウェアを押し付けますが、実際
にはワイパーとして機能し、静かにデバイスのほぼすべてのデータを
削除しようとします

◆2022年10月10日 (月)

◆New VoidCrypt variant (PCrisk, 2022/10/10)

Ransomware: VoidCrypt
拡張子: .solo, Ransomnore: unlock-info.txt.

https://twitter.com/pcrisk/status/1579374655458410496

◆New Dharma variant (PCrisk, 2022/10/10)

Ransomware: Dharma
拡張子: .dkey

https://twitter.com/pcrisk/status/1579426957334556672

◆2022年10月11日 (火)

◆Microsoft Exchange servers hacked to deploy LockBit ransomware (BleepingComputer, 2022/10/11 12:59)
[Microsoft Exchangeサーバーがハッキングされ、ランサムウェア「LockBit」が展開される]
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-lockbit-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/10/11/000000_2

マイクロソフトは、Exchangeサーバーのハッキングに悪用された新た
なゼロデイバグが、後にランサムウェア攻撃「Lockbit」の起動に使
用されたという報告を調査しています

◆FinCEN Announces $29 Million Enforcement Action Against Virtual Asset Service Provider Bittrex for Willful Violations of the Bank Secrecy Act (FinCEN, 2022/10/11)
[FinCEN、銀行機密保護法の故意違反で仮想資産サービスプロバイダーBittrexに対し2900万ドルの強制執行を行うことを発表]
https://www.fincen.gov/news/news-releases/fincen-announces-29-million-enforcement-action-against-virtual-asset-service
⇒ https://malware-log.hatenablog.com/entry/2022/10/11/000000_3

FinCENのHimamauli Das長官代理は、「長年にわたり、BittrexのAML
プログラムとSAR報告の失敗は、不必要に米国の金融システムを脅威
的行為者にさらしてきました」と述べています。「Bittrexの失敗は、
制裁対象国、ダークネット市場、ランサムウェア攻撃者を含む高リス
クの取引相手への暴露を引き起こしたのです。仮想資産サービスプロ
バイダーは、強固なリスクベースのコンプライアンスプログラムを導
入し、BSA報告要件を満たす必要があることを知らされています。
FinCENは、BSAの故意の違反を特定した場合、躊躇なく行動します。

◆2022年10月12日 (水)

◆CommonSpirit Update (CommonSpirit, 2002/10/12)
https://www.commonspirit.org/news-and-perspectives/news/statement-it-security-issue
⇒ https://malware-log.hatenablog.com/entry/2022/10/12/000000_7

すでにお伝えしたように、ランサムウェアの攻撃を発見した時点で、
私たちはシステムを保護し、事故を食い止め、調査を開始し、医療の
継続性を確保するための措置を直ちに講じました。私たちの施設は、
電子カルテなど特定のシステムをオフラインにするなど、システム停
止のための既存のプロトコルに従います。さらに、混乱を緩和し、ケ
アの継続性を維持するための措置を講じています。調査および対応プ
ロセスにおいて私たちのチームをさらに支援しサポートするために、
私たちはサイバーセキュリティの主要な専門家と契約し、法執行機関
に通知しました。

◆Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike (Trendmicro, 2022/10/12)
[QAKBOT、Brute Ratel、Cobalt Strikeを経由してネットワークに侵入するBlack Bastaランサムウェアのギャングが発生]
https://www.trendmicro.com/en_us/research/22/j/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.html
⇒ https://malware-log.hatenablog.com/entry/2022/10/12/000000_8

私たちは、Black Bastaランサムウェアの背後にいる脅威者に起因す
ると考えられるBrute Ratel C4およびCobalt Strikeペイロードにつ
ながるQAKBOT関連のケースを分析しました

◆New STOP ransomware variants (PCrisk(Twitter), 2022/10/12)

Ransomware: STOP
拡張子: .powz / .pohj

https://twitter.com/pcrisk/status/1580084467267698689

◆2022年10月13日 (木)

◆Magniber ransomware now infects Windows users via JavaScript files (BleepingComputer, 2022/10/13 12:04)
[Magniber ランサムウェアは、JavaScript ファイル経由で Windows ユーザーに感染するようになりました]
https://www.bleepingcomputer.com/news/security/magniber-ransomware-now-infects-windows-users-via-javascript-files/
⇒ https://malware-log.hatenablog.com/entry/2022/10/13/000000_1

最近、ランサムウェア「Magniber」を配信する悪質なキャンペーンが、
偽のセキュリティ更新プログラムを用いてWindowsホームユーザーを
標的にしています

◆New Dharma variant (PCrisk(Twitter), 2022/10/13)

Ransomware: Dharma
拡張子: .CYBER, Ransomnote: CYBER.txt

https://twitter.com/pcrisk/status/1580417316457975808

◆2022年10月14日 (金)

◆Microsoft: New Prestige ransomware targets orgs in Ukraine, Poland (BleepingComputer, 2022/10/14 15:49)
[マイクロソフトウクライナ、ポーランドの組織を狙う新型ランサムウェア「Prestige」]
https://www.bleepingcomputer.com/news/security/microsoft-new-prestige-ransomware-targets-orgs-in-ukraine-poland/
⇒ https://malware-log.hatenablog.com/entry/2022/10/14/000000_1

マイクロソフトによると、新しいランサムウェア「Prestige」が、ウ
クライナとポーランドの輸送・物流組織を標的とした攻撃を継続的に
行っているとのことです

◆Police tricks DeadBolt ransomware out of 155 decryption keys (BleepingComputer, 2022/10/14 17:27)
[警察は、DeadBoltランサムウェアから155の復号化キーを騙し取る]
https://www.bleepingcomputer.com/news/security/police-tricks-deadbolt-ransomware-out-of-155-decryption-keys/

オランダ国家警察は、サイバーセキュリティ企業Responders.NUと共
同で、身代金の支払いを偽装して、ランサムウェア「DeadBolt」一味
から155個の復号化キーを入手しました

◆Ransom Cartel Ransomware: A Possible Connection With REvil (UNIT42(Paloalto), 2022/10/14)
[ランサムカルテル・ランサムウェア。REvilとの関連の可能性]
https://unit42.paloaltonetworks.com/ransom-cartel-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/10/14/000000_3

本レポートでは、Ransom Cartel ランサムウェアの分析、および
REvil と Ransom Cartel ランサムウェアの関連性の可能性に関する
評価を提供します

◆Why call police after a cyber attack? Because they're waiting for you (Regina Leader-Post, 2022/10/14)
https://leaderpost.com/technology/why-call-police-after-a-cyber-attack-because-theyre-waiting-for-you
⇒ https://malware-log.hatenablog.com/entry/2022/10/14/000000_4

例えば、ランサムウェア「Netwalker」の一味であるカナダ人の
Sebastien Vachon-Desjardinsが保有する暗号通貨をRCMPが押収した
後、カナダの被害者にその資金を返還しようとしました。中には被害
に遭ったことを認めない組織もあったという