2021年10月28日〜11月3日までに報告されたセキュリティインシデントの概要

2021/11/11 セキュリティーニュース
logo

Norsk Hydro社に対する攻撃者の逮捕、BlackMatterサイバーランサムウェアの終焉、「イカゲーム」詐欺など、2021年10月28日〜11月3日までに報告されたインシデントについてのレビューをご一読ください。 


ランサムウェアグループBlackMatterの活動終了報告

11月1日(月)、当局からの圧力により、サイバーランサムウェアグループBlackMatterは活動の終了を発表しました。 このグループは、パートナーポータルサイトに活動終了の発表を投稿しました。


ランサムウェア攻撃の実行者12人の逮捕

Europolは、世界71か国の1.8千を超える組織に対してランサムウェア攻撃を実行した疑いのある12人の逮捕を発表しました。 LockerGoga(ノルウェーのアルミニウム生産者、Norsk Hydroへの攻撃で使用)、MegaCortex、Dharma、Trickbotマルウェア、Cobalt Strikeなどのツールが使われ、多くのランサムウェアファミリーが攻撃に関与していました。 逮捕はスイスとウクライナで行われました。 捜査によって、警​5台の高級車、電子機器、52,000ドルの現金が押収されました。


ランサムウェアグループRevilの主要メンバーの身元が判明

ドイツの法執行官は、世界中の大企業への注目を集める攻撃で知られる、ランサムウェアグループREvilの主要メンバーの1人の身元ガ明らかになったと報告しています。 ニコライK.について言及していて、彼自身は暗号投資家およびトレーダーとして活動していると考えられています。


ランサムウェア攻撃事例①

◆被害者:英国の宝石店Graff Diamonds

◆攻撃者:Conti

◆被害内容:6万9千のファイルと約1万1千のクライアントデータ(顧客リスト、請求書、領収書、その他の文書)がダークネットにアップロードされました。


ランサムウェア攻撃事例②

◆被害者:Minecraftプレーヤー

◆攻撃者:Chaos

◆被害内容:このマルウェアは、Minecraftプレーヤーの認証情報が含まれていると思われるテキストファイルを介して拡散します。感染したシステムでサイズが2 MB未満のさまざまなタイプのファイルを検索し、それらのファイルを暗号化するように構成されています。ただし、ファイルが2MBを超える場合は、ランダムな文字列が挿入されるため、身代金を支払っても回復できません。


ランサムウェア攻撃事例③

◆被害者:ドイツの自動車部品メーカーEberspächerGroup

◆対応内容:公式ウェブサイト、電子メールシステム、および本番システムの停止

◆被害内容:製造プロセスとプロセスの順番を調整できないため、ドイツとルーマニアの従業員の一部を有給休暇としました


ランサムウェア攻撃事例④

◆被害者:トロントの公共交通

◆対応内容:運転手と乗客が使用するシステムの停止

◆被害内容:メールサーバーやドライバー用のTTCVision通信システム利用不可


ランサムウェア攻撃事例⑤

◆被害者:カナダのニューファンドランドラブラドール州

◆対応内容:地域の医療システムのネットワークの停止

◆被害内容:何千人もの患者の予約のキャンセル。 セントラルヘルス、イースタンヘルス、ウエスタンヘルス、ラブラドール-グレンフェル地域保健当局のシステムにも影響あり。

ITシステムの停止は、この地域の通信にも影響があり、電話で医療センターや911サービスに連絡できない事象発生。


ランサムウェア攻撃事例⑥

◆被害者:パプアニューギニアの財務省

◆被害内容:数億ドルの対外援助への統合財務管理システム(IFMS)へのアクセス不可


ランサムウェア攻撃事例⑦

◆被害者:パキスタン国立銀行

◆被害内容:銀行の支店、ATMネットワークを制御する内部インフラストラクチャ、および銀行のモバイルアプリケーションをリンクするために使用されるバックエンドシステムとサーバーに影響あり。ハッキングのニュースは顧客をパニックに陥らせました。


◆ランサムウェアの新しい手法①

ランサムウェアのオペレーターは、被害者のシステムに感染する新しい方法を探しています。 そのような手法の1つは、被害者のシステムにペイロードをインストールするSEOポイズニング手法です。 たとえば、Menlo Securityのサイバーセキュリティ研究者は、ランサムウェアREvilのオペレーターに関連し、この手法を使用している2つの悪意のあるキャンペーンGootloaderとSolarMarketを発見しました。


◆ランサムウェアの新しい手法②

感染のもう1つのベクトルは、悪意のあるNPMパッケージです。 情報セキュリティ会社Sonatypeの専門家は、Robloxライブラリを装ってランサムウェアと情報スティーラーを配布する悪意のあるNPMパッケージを発見しました。 2つのNPMパッケージ(noblox.js-proxyとnoblox.js-proxies)について報告しています。 名前が示すように、攻撃者はタイポスクワッティング(ユーザーエラーを見越して有名な名前のスペルを近似する単語の使用)を使用して、それがnoblox.js-proxiedと呼ばれる正当なRobloxAPIラッパーであることを被害者に納得させました。 悪意のあるNPMパッケージは、被害者をMBRLockerランサムウェアに感染させます。これは、サイバー犯罪者がセンセーショナルなGoldenEyeランサムウェア、トロールウェアプログラム(ユーザーの迷惑とトロイの木馬を主な目的とする無害なソフトウェア)、およびパスワードを盗むトロイの木馬を装っています。


ランサムウェア攻撃事例⑧

◆被害者:イスラエルのホスティング会社Cyber​​serve

◆攻撃者:イランと関係のあるハッカーグループBlackShadow

◆被害内容:多くの人気のあるWebサイトのサービス停止


ランサムウェア攻撃事例⑨

◆被害者:イスラエルの性的マイノリティの出会い系サイトAtraf

◆攻撃者:イランと関係のあるハッカーグループBlackShadow

◆被害内容:100万ドルの身代金要求と支払いを拒否した場合の通信情報を含むサイトユーザーの個人データの公開


ランサムウェア攻撃事例⑩

◆被害者:イスラエルの軍人

◆攻撃者:イランのハッカーグループモーセの杖

◆被害内容:ダークネットとテレグラムのチャネルで数百人のイスラエル軍人の個人データ(ランク、電話番号、電子メールアドレス、住所、公式通信、および軍人の家族の社会経済的状況に関する情報を含む、軍人および事前加入年齢の人に関する情報)を公開


 ランサムウェア攻撃事例⑪

◆被害者:全米ライフル協会(NRA)

◆攻撃者:ランサムウェアGrief(ハッカーグループEvilCorp)

◆被害内容:NRAから盗まれたファイル(盗まれた文書のほとんどは、銃撃協会の予算から資金提供された助成金に関連)の公開。身代金の支払い要求、他の盗まれたファイルの公開


イカゲームの人気を悪用したフィッシングメール

◆攻撃者:TA575グループのサイバー犯罪者

◆被害内容:Dridexマルウェアのインストール

◆手法:のあるNetflixシリーズのイカゲームに関する電子メールを使用たマルウエアの拡散


イカゲームを悪用した暗号通貨

◆被害内容:投資家にフィッシングメールで暗号通貨を購入するように勧誘し、高値が付いたところで、暗号通貨作成者はお金をすべて引き出し、姿をくらましました。


BXH Exchange暗号通貨取引所への攻撃

◆被害内容:1億3900万ドルのデジタル資産の損失

◆原因:サイトの従業員のコンピューターがトロイの木馬に感染→ハッカーが機密情報にアクセス可→管理者の鍵盗難→デジタル資産引き出し


標的型フィッシングキャンペーンにAmazon Simple Email Service(SES)トークンを悪用

◆被害内容:Microsoft Office 365ユーザーを対象とした標的型フィッシングキャンペーン

◆攻撃者:Iamtheboss、MIRCBOOT


まとめ

海外のランサムウェア攻撃の被害多いですね。日本の企業もターゲットになったら、殆どの企業はやられてしまうでしょうか。

ターゲットにならないように普段の対策をするようにしましょう。