2021年3月20日から26日までの期間のセキュリティインシデントの概要

2021/03/29 ブログ
logo

SolarWindsサプライチェーンへの攻撃に対する報告が徐々に減少するにつれて、再びランサムウェア攻撃の報告が増加しました。 2021年3月20日から26日までのセキュリティインシデントについてご一読ください。

台湾の企業Acerへのランサムウェア攻撃

先週、最大のコンピューターメーカーの1つである台湾の企業Acerが、ランサムウェアREvilの犠牲者になりました。 この事件は、会社の名前がREvilのWebサイトに報告された後、広まりました。このウェブサイトは通常、必要な身代金を支払わなかった組織からの文書を公開しています。 ランサムウェアは盗まれたファイルの公開を控え、協力を拒否した場合に起こりうる結果についての警告として、内部文書のスクリーンショットのみを投稿しました。

 

REvilの新しい亜種が、Windowsセーフモードで被害者のコンピューター上のファイルを暗号化する機能を持つようになったことは注目に値します。 おそらく、ランサムウェアの開発者は、セキュリティソリューションによる検出をバイパスし、ファイルをより効率的に暗号化できるようにこの機能を追加しました。

Black Kingdomのランサムウェア攻撃

Black Kingdomのランサムウェアオペレーターは、MicrosoftExchangeサーバーの脆弱性に対するエクスプロイトを一般名ProxyLogonとして追加しました。新しい悪意のあるキャンペーンの犠牲者は、米国、カナダ、オーストリア、スイス、ロシア、フランス、イスラエル、英国、イタリア、ドイツ、ギリシャ、オーストラリア、クロアチアにいます。 Black Kingdomは、ランダムな拡張子を使用してファイルを暗号化し、身代金メモdecrypt_file.TxTまたはReadMe.txtを生成します。スクラップでは、犯罪者はビットコインで10,000ドルを要求し、同じビットコインアドレスを使用して支払います。

PurpleFoxマルウェア

以前はエクスプロイトキットやフィッシングメールで配布されていたPurpleFoxマルウェアに、ワームのようなモジュールが追加されました。 この新機能により、マルウェアは攻撃中にWeb上のWindowsシステムをスキャンして攻撃することができます。 現在、Purple Foxのオペレーターは、2,000近くの侵害されたサーバーにマルウェアを配備しています。 影響を受けるデバイスには、Windows Serverシステム、Microsoft RPCサーバー、Microsoft Server SQL Server 2008R2とMicrosoftHTTPAPI httpd 2.0、およびMicrosoftターミナルサービスが含まれます。

カナダのIoTデバイスメーカーへのランサムウェア攻撃

カナダのIoTデバイスメーカーであるSierraWirelessは、ランサムウェアが今週ITシステムを攻撃したと報告しました。企業でのサイバー攻撃により、生産プロセスは停止しましたが、メーカーは「すぐに」生産を再開することを望んでいます。 Sierra Wirelessは、Webサイトと内部運用の中断も経験しました。しかし、同社は、「社内のITシステムと顧客中心の製品やサービスを明確に区別している」ため、この事件は自社のシステムにのみ影響を及ぼしたと語りました。

Babukランサムウェアによる攻撃

Babuk(Babykとしても知られている)ランサムウェアのオペレーターは、米国空軍、海軍、米国特殊作戦軍の武器制御システムと補助装置の主要な米国の大手開発者および製造業者から700GBを超える機密情報を盗んだとWebサイトで報告しています。

 

ランサムウェア攻撃は、サーバーおよびソフトウェアベンダーであるStratusTechnologiesにも影響を及ぼしました。 サイバー攻撃の結果、同社はインシデントを隔離するためにネットワークとサービスの一部を停止する必要がありました。

 

航空宇宙、電力機器メーカーのハネウェルはサイバー攻撃から復旧しました。 同社で説明されているように、マルウェアは「限られた数」のコンピューターシステムを無効にし、今ではハネウェルのサービスがオンラインに戻っています。 ランサムウェアを使用したかどうかなど、サイバー攻撃の性質は会社によって開示されていません。

中国のハッカーグループEarth Empusaによる攻撃

今週、Facebookの情報セキュリティ専門家が、Facebookプラットフォームを使用して悪意のある操作を実行した中国のハッカーグループEarth Empusa(Evil Eyeとも呼ばれる)について報告しました。 専門家によると、このグループは、中国の新疆ウイグル自治区出身で、トルコ、カザフスタン、米国、シリア、カナダ、オーストラリアに住む活動家、ジャーナリスト、反対派を攻撃した。

Accellionサプライチェーンのサイバー攻撃

また今週、Accellionサプライチェーンでのサイバー攻撃の次の犠牲者について報告されるようになりました。 それは、石油化学およびエネルギー企業の多国籍グループであるシェルであることが判明しました。 攻撃中、サイバー犯罪者は大株主や子会社の情報にアクセスできました。

SolarWindsハッキング

今週、SolarWindsに関するニュースがなかったわけではありません。スイスの情報セキュリティ会社Prodaftの専門家は、SolarWindsハッキングに関連するハッカーグループが使用するサーバーにアクセスすることに成功しました。このおかげで、攻撃者が誰を攻撃しているのか、どのように操作を行っているのかを知ることができました。情報セキュリティの専門家は、サイバー犯罪者が所有するコンピューターインフラストラクチャをハッキングし、昨年3月から8月にかけて行われた大規模な悪意のあるキャンペーンの詳細を調査しました。キャンペーン中、サイバー犯罪者はヨーロッパと米国の何千もの企業や政府組織を攻撃しました。 SilverFishの研究者によるとサイバー犯罪グループの標的は、スパイ活動とデータの盗難でした。

AndroidOS脆弱性を狙った攻撃

とりわけ、先週、F5 BIG-IP、BIG-IQ、およびAndroidOSの修正された脆弱性による最初の成功したサイバー攻撃が報告されました。 リモートコード実行を可能にし、F5 BIG-IPおよびBIG-IQソフトウェアのほとんどのバージョン、およびQualcommチップセットを使用するすべてのAndroidデバイスに存在するQualcommグラフィックスコンポーネントのCVE-2020-11261に影響を与える脆弱性CVE-2021-22986についてのものでした。