TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

The Week in Ransomware - August 18th 2023 - LockBit on Thin Ice

【訳】

今週のランサムウェア - 2023年8月18日 - 薄氷のLockBit


【要約】

企業を標的とするランサムウェア攻撃では、脅威者がネットワークに侵入し、データを収集し、その後ファイルを暗号化して身代金を要求します。身代金が支払われない場合、データは公開されて被害者を脅迫します。しかし、LockBitランサムウェアの運営には問題があり、データをうまく流出できず、脅迫戦略を挫折させます。LockBitはデータを公表せず、脅しと評判で被害者を支払いに説得しています。代表者のLockBitSuppも姿を消し、アフィリエイトからの質問に答えないため、運営の危機があり、新しいランサムウェアに切り替える動きもあります。セキュリティアナリストはこの混乱に気づいておらず、他のランサムウェアに関する情報も提供されています。また、データ盗難攻撃や新たなフィッシングキャンペーンも報告されています。


【ニュース】

◆The Week in Ransomware - August 18th 2023 - LockBit on Thin Ice (Bleeping Computer, 2023/08/18 17:07)
[今週のランサムウェア - 2023年8月18日 - 薄氷のLockBit]
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/


【詳細】

■2023年8月12日 (土)

◆Knight ransomware distributed in fake Tripadvisor complaint emails (BleepingComputer, 2023/08/12 11:16)
[Knight ランサムウェアが偽のトリップアドバイザー苦情メールで配布される]
https://www.bleepingcomputer.com/news/security/knight-ransomware-distributed-in-fake-tripadvisor-complaint-emails/
https://malware-log.hatenablog.com/entry/2023/08/12/000000_1


■2023年8月14日 (月)

◆Monti ransomware targets VMware ESXi servers with new Linux locker (BleepingComputer, 2023/08/14 12:12)
[Montiランサムウェアは新しいLinux LockerでVMware ESXiサーバーを狙う]
https://www.bleepingcomputer.com/news/security/monti-ransomware-targets-vmware-esxi-servers-with-new-linux-locker/
https://malware-log.hatenablog.com/entry/2023/08/14/000000_2

◆Colorado warns 4 million of data stolen in IBM MOVEit breach (BleepingComputer, 2023/08/14 08:42)
[コロラド州、IBM MOVEit侵害で400万件のデータが盗まれたと警告]
https://www.bleepingcomputer.com/news/security/colorado-warns-4-million-of-data-stolen-in-ibm-moveit-breach/
https://malware-log.hatenablog.com/entry/2023/08/14/000000_3

◆Underground Ransomware deployed by Storm-0978 that exploited CVE-2023-36884 (SecurityScorecard, 2023/08/14)
[CVE-2023-36884を悪用したStorm-0978によるUnderground Ransomwareの配備]
https://resources.securityscorecard.com/research/underground-ransomware
https://malware-log.hatenablog.com/entry/2023/08/14/000000_4

◆New STOP ransomware variants (PCrisk(Twitter), 2023/08/14)

Ransomware: STOP
拡張子: .tasa / .taoy

https://twitter.com/pcrisk/status/1691011184273534976


■2023年8月15日 (火)

◆Ransomware Diaries: Volume 3 – LockBit’s Secrets (Analyst1, 2023/08/15)
[ランサムウェア・ダイアリー 第3巻 ロックビットの秘密 ]
https://analyst1.com/ransomware-diaries-volume-3-lockbits-secrets/
https://malware-log.hatenablog.com/entry/2023/08/15/000000_2

◆New Allahu Akbar ransomware variant (PCrisk(Twitter), 2023/08/15)

Ransomware: Allahu Akbar
拡張子: .allahuakbar, RansomNote: how_to_decrypt.txt

https://twitter.com/pcrisk/status/1691324034615595008

◆New Retch ransomware variant (PCrisk(Twitter), 2023/08/15)

Ransomware: Retch
拡張子: .Retch, RansomNote: HOW TO RECOVER YOUR FILES.txt

https://twitter.com/pcrisk/status/1692048994615079337


■2023年8月16日 (水)

◆Tracking Adversaries: Scattered Spider, the BlackCat affiliate (bushidotoken, 2023/08/16)
[逆境を追跡する Scattered Spider、の系列会社]
https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html
https://malware-log.hatenablog.com/entry/2023/08/16/000000

もう4年以上、日々サイバー犯罪の脅威の状況を追跡しているが、私を驚かせるようなことはもうそうそうない。しかし、CrowdStrikeによってScattered Spider、またはGroup-IBによって0ktapusという名で追跡されている、英語圏の大物狩りをするサイバー犯罪者グループと思われる集団が、BlackCat(またはALPHV)として知られるロシア語圏のランサムウェアグループと手を組んだという最新の動向は、私の注意を引いた。


■2023年8月17日 (木)

◆Microsoft: BlackCat's Sphynx ransomware embeds Impacket, RemCom (BleepingComputer, 2023/08/17 18:05)
[マイクロソフト: BlackCatのSphynxランサムウェアはImpacketとRemComを埋め込む]
https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/
https://malware-log.hatenablog.com/entry/2023/08/17/000000

マイクロソフト社は、ネットワーク・フレームワークImpacketとハッキング・ツールRemcomを組み込んだ新バージョンのBlackCatランサムウェアを発見した。

◆PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers (Adlumin, 2023/08/17)
[PlayCryptランサムウェア・グループ、マネージド・サービス・プロバイダーに対するキャンペーンで大惨事を引き起こす]
https://adlumin.com/post/playcrypt-ransomware/
https://malware-log.hatenablog.com/entry/2023/08/17/000000_1

Adlumin Threat Research チームは、洗練された Play ランサムウェア(PlayCrypt とも呼ばれる)を使用した集中的なグローバルキャンペーンを発見しました。このキャンペーンは現在、金融、ソフトウェア、法律、海運・物流業界の中堅企業、および米国、オーストラリア、英国、イタリアの州、地方、部族、地域(SLTT)エンティティを標的としています。PlayCryptランサムウェア・グループは、2023年3月にオークランド市で発生した攻撃にも関連していました。

◆New Retch ransomware variant (PCrisk(Twitter), 2023/08/17)

Ransomware: Retch
拡張子: .Retch, RansomNote: HOW TO RECOVER YOUR FILES.txt

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023