2023Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2023/02/06

Lockbit Ransomwareの亜種「Lockbit Green」。Contiソースコードベース

  • bleepingcomputerより
  • 新しい LockBit の亜種として、「LockBit Green」が出てきているようです。こちらの「LockBit Green」は以前に流出し現在はギャングが解散した(とされている)Contiランサムウェアのソースコードが流用されているようです。
  • 昨年に引き続き、今年もLockBitに悩まされそうです。気をつけましょう。

2023/01/28

Windows 検索ツールの「Everything」を悪用するMimic ランサムウェア

  • トレンドマイクロのブログより
  • Trend Micro の研究者は、Voidtools が開発した Windows ファイル名検索エンジンである Everything と呼ばれるAPI を悪用する、新しいランサムウェアを発見しました。
  • Mimic は、複数のバイナリとパスワードで保護されたアーカイブ (Everything64.dll に偽装) をドロップする実行可能ファイルとして届きます。このアーカイブにはランサムウェアのペイロードが含まれます。 また、Windows Defenderをオフにするツールも含まれています。
  • 詳しい情報は、TrendMicroのページをご確認ください。

2023/01/10

Kinsingマルウェアが使用するKubernetes環境の初期アクセスベクター

  • Microsoftのブログより
  • Microsoftの観測により、Kubernetes環境でのKinsingマルウェア(Linuxが標的)の初期アクセスベクターとして下記のものが見つかっています。詳細はMicrosoftのサイトを確認して下さい。
    • 脆弱性の有るイメージを使用する
    • 脆弱な設定になっているPostgreSQLコンテナを使用する

2023/01/03

2022のランサムウェア攻撃傾向と「ランサムウェア」概念の変更

  • EMISOFTのブログより
  • 2022で米国では以下のセクターがランサムウェア攻撃を受けたようです。
    • 105の自治体
    • 44の大学/専門学校
    • 1,981 校を運営する 45 の学区
    • 290 の病院を運営する 25 の医療提供会社
  • 最後のセンテンスで「(意訳)今日の攻撃は複雑で、人間主導のデータ盗難であることが多く、暗号化が発生したとしても、攻撃チェーンの最後のステップです。 別の言い方をすれば、通常データを暗号化するグループによって攻撃が実行された場合でも、攻撃は流出のみである可能性があります。つまり、ランサムウェア グループによるランサムウェアレス攻撃があるということです。」という箇所は響きますね。実際、筆者が2022年に攻撃の記事を追いかけている間でも、暗号化よりも情報の盗難、という箇所に重点が置かれているケースが多かったと思います。
  • お年玉で公開した資料でも書いていますが、今後は、「”ランサムウェアによる攻撃”だったから、暗号化対策でバックアップが〜」も「攻撃を受けて”暗号化されているシステム”がこのマシンだけだったから被害はコレだけ〜」も意味をなさなくなるのではないかと思います。

2023/01/01

お年玉企画。2022Q2のランサムウェア情報(PPTX プレゼン資料)を公開。改変・二次使用等お好きに。

  • 2022年7月頃にSIOS/STI社内向けに行ったランサムウェアセミナー「2022Q2 ランサムウェア情報」の資料を公開しました。資料はこちらのサイトで公開します(18Mbyteありますので大きいかも)。(SlideShareはログインが必要だったりするので止めましたが、一応残してあります)。
  • 敢えてPPXで公開しています(Google Slideからの変換なので、フォーマットは微妙かも)。改変や二次使用等、全てOKです。引用元等で「SIOS Technology 面 和毅」を記載頂ければ嬉しいです。
  • RansomOpsの話やLockBitの変遷/Contiの変遷、Contiの感染のStepbyStep(Sophosのブログより)等を書いています。
  • 最終的に現在のランサムウェアにはバックアップ・メール対策だけでは足りず、他のソリューションと組み合わせる必要が有るという話を書いています。興味がありましたら是非御確認下さい。

コメント

タイトルとURLをコピーしました