東芝フランス法人にランサムウェア攻撃、米パイプライン攻撃した「DarkSide」が犯行声明 | ウィークリー・サイバーダイジェスト – 2021年5月14日〜5月20日 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > NEWS > 東芝フランス法人にランサムウェア攻撃、米パイプライン攻撃した「DarkSide」が犯行声明 | ウィークリー・サイバーダイジェスト – 2021年5月14日〜5月20日

東芝フランス法人にランサムウェア攻撃、米パイプライン攻撃した「DarkSide」が犯行声明 | ウィークリー・サイバーダイジェスト – 2021年5月14日〜5月20日

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

 

以下、翻訳です。

 

2021年5月20日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く、オープンソース・ダークウェブ上で言及されたプロダクトを示しています。

 

 

データ流出

今週報告されたデータ流出の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

フランス

東芝

2021年5月14日、「DarkSide」ランサムウェアのオペレーターは、東芝のフランス法人から機密情報を盗んだと主張した。経営陣、新規事業、個人に関するデータを含む、740GB以上のデータが盗み取られたとされている。東芝は、ヨーロッパにある同社の一部のサーバーに対するサイバー攻撃を認めた。

 

米国

Gastroenterology Consultants PA

同クリニックは、2021年1月10日に発生したランサムウェア攻撃をメイン州検事総長室に報告した。同社は、2021年3月に初めてウェブサイト上で情報漏洩を公表し、「患者の情報が流出した可能性」を調査していると述べている。(460)

 

Acer Finance

「Avaddon」ランサムウェアのオペレーターが、同社を標的にして、顧客や従業員に関する機密データを盗んだと主張している。これには、銀行情報、個人的なやりとり、契約書、支払い用紙などが含まれると言われている。攻撃者が公表したサンプルデータには、複数のIDカード、個人文書、契約書などが含まれている。

 

Brenntag North America

同社は、2021年5月初旬に「DarkSide」ランサムウェア攻撃の標的となった。攻撃者は、同社から150GBのデータを盗んだと主張しており、盗まれたと思われるデータのスクリーンショットが「DarkSide」のデータリークサイトに追加された。

 

インディアナ州ゲイリー市

ランサムウェア攻撃が同市の複数のサーバーに影響を与え、現在、これらのサーバーの再構築および復旧作業が行われている。個人情報に影響があったかどうかは現在のところ不明。

 

Lemonade

研究者は、この保険会社の顧客の詳細を公開状態にさせているセキュリティ上の欠陥を発見した。Muddy Waters Research社は、公開されている検索エンジンの検索結果をクリックすると、認証情報を入力せずにログインし、顧客のアカウントを編集することができたと述べた。TechCrunchは、この欠陥により、認証情報を入力せずにログインし、顧客の氏名、住所、見積書の詳細を見ることができることを確認した。

 

Utility Trailer Manufacturing

同社はランサムウェア攻撃の標的となり、一時的にシステムの一部が停止した。「Clop」ランサムウェアのオペレーターは、同社から盗み取られたとされる5GB以上のデータをリークした。FreightWaves社は、流出したデータの中には、給与明細や人事情報など、従業員の慎重に取り扱うべき個人データが大量に含まれていると報告した。

 

Rapid7

Rapid7社は、Codecov社のBash Uploaderに悪意のある変更が加えられたことにより、一部のマネージドディテクションおよびレスポンスサービスの顧客の内部認証情報および警報関連データが不正にアクセスされたことを発見した。影響を受けた一部の顧客は情報漏洩について通知され、公開された認証情報は変更された。

 

Eduro Healthcare

2021年4月7日、「Astro Team」はEduro Healthcareをデータリークサイトに追加した後、40GBの盗まれたとされるデータを4月23日にダンプした。このグループは、「Mount Locker」ランサムウェアに関連している。公開された情報には、患者の名前、健康保険情報、財務諸表などが含まれている。

 

Sincera Reproductive Medicine

同社は、2020年8月10日から9月13日の間に、脅威アクターが同社のシステムにアクセスしたことを明らかにした。この攻撃により一部の情報が影響を受けた。同社は、「Maze」ランサムウェアのオペレーターのデータリークサイトで紹介されていたが、この脅威アクターが投稿した攻撃の証拠は、同社とは無関係である模様。

 

Allergy Partners

ノースカロライナ州のこの医療機関は、2021年1月12日から2月23日の間に、権限のない人物が同社のネットワークにアクセスしたことを認めた。このアクターは、サーバーにマルウェアを展開し、患者の氏名、住所、運転免許証番号、社会保障番号、金融口座番号、医療情報などを含む可能性のある同社のデータの一部を盗んだ。

 

Health Plan of San Joaquin (HPSJ)

2020年9月26日から10月12日の間に、未知のアクターが、あるHPSJ従業員のメールアカウントにアクセスした。メンバー名とID番号、生年月日、検査結果、医療ID番号、金融口座情報、社会保障番号などが、影響を受けた1つまたは複数のメールに含まれていた。

 

ドイツ

Möbelstadt Sommerlad

この家具小売店は、2021年4月30日に「DarkSide」ランサムウェア攻撃の標的となったことを公表した。この攻撃は、同社の電話とEメールサービス、および最大400台のハードディスクに影響を与えた。同社は、すべての顧客にパスワードの変更を呼びかけたが、データが流出したかどうかは不明。

 

アルゼンチン

Apex America

このデジタル・カスタマー・エクスペリエンス・サービス企業は、「REvil」ランサムウェアのオペレーター集団に襲われた。同グループはデータを盗んだと主張し、証拠となるスクリーンショットを掲載した。

 

アイルランド

保健サービス委員会(HSE)

「Conti」ランサムウェアのオペレーターは、HSEから700GB以上の情報を盗み取ったと主張している。このグループは、攻撃に先立ち、2週間以上にわたってHSEのネットワークにアクセスしていたと主張している。また、患者や従業員の情報、財務諸表、給与明細、契約書などを盗んだと主張している。

 

MyHome[.]ie

Vadixの研究者が、この不動産サイトの顧客の個人情報がネット上に流出していることを発見した。2014年から2017年までの70万件以上の書類が流出した。流出した情報には、パスポート、運転免許証、コンプライアンス関連の記入フォームなどが含まれている。

 

ブラジル

Rede Bahia

このコングロマリットは、同社のサーバーがサイバー攻撃を受け、業務に影響が出たことを明らかにした。また、同社の一部の従業員および元従業員の個人情報が流出したと述べている。

 

ブラジル軍

2021年5月3日、同軍はブラジルの将軍たちの個人情報を暴露した冊子を、電子書籍出版プラットフォーム「Calaméo」で公開した。この冊子では、将軍たちの名前、電話番号、Eメール、配偶者や側近の名前が公開されていた。Núcleo Jornalismo紙によると、この小冊子には機密情報が含まれていたとのこと。陸軍ソーシャル・コミュニケーション・センターは、小冊子の情報は古いものであると述べた。

 

カナダ

La Place 0-5

2021年5月8日、この保育園登録の集中管理ポータルがサイバー攻撃の標的となった。攻撃者が管理者レベルのアカウントを作成し、これによりポータルのITベンダーがホストするデータにアクセスできるようになったと報じられている。この攻撃者は、氏名、電話番号、生年月日、NIRECの識別番号などのデータを盗んだ。(5,000)

 

アクサ・アジア

「Avaddon」ランサムウェアのオペレーターは、アクサグループのタイ、フィリピン、香港、マレーシアの事業所に対する攻撃を主張した。このアクターは、顧客の診断書、請求情報、銀行口座の書類、IDなどを含む3TBのデータを盗んだと主張している。同グループは、アクサのレターヘッドや印章を含む複数の機密文書をリークしている。

 

英国

Guard[.]me

2021年5月17日、同社はウェブサイトの脆弱性を悪用した権限のない個人によるデータ侵害が発生したことを顧客に通知し始めた。漏洩したデータには、生年月日、性別、暗号化されたパスワードのほか、場合によってはEメールアドレス、住所、電話番号などが含まれる。

 

Buffalo Public Schools

2021年3月に発生したランサムウェア攻撃の調査で、不特定多数の生徒、保護者、従業員の個人情報が流出していたことが判明した。また、一部のベンダーの銀行口座情報も流出していた。

 

オックスフォード大学

同大学が使用しているリレーションシップ・マネジメント・システム「DARS」の技術的な問題により、オックスフォード・シングル・サイン・オンの未承認ユーザーがペンブルック・カレッジの卒業生の機密データを閲覧することができるようになっている。公開状態になったデータには、氏名、年齢、住所、電話番号、長時間番組のスタッフと卒業生の間で交わされた電話のメモなどが含まれている。また、長時間番組のトレーニング資料の一部も侵害された。

 

TeamBMS

Website Planet の研究者は、同社(現在はTeam Resourcing Ltd.の一部)に属するAWS S3バケットの設定ミスを確認した。今回の流出事案は、ヨーロッパ、西アジア、米国の数万人の国民に影響を与える可能性があるが、研究者は全員が英国に居住していると考えている。このデータベースは、パスポートや国民IDカードなどの個人IDと履歴書を含む21,000のファイルを公開した。流出したデータには、氏名、Eメールアドレス、携帯電話番号、自宅住所、生年月日、パスポート番号などが含まれていた。

 

イスラエル

monday[.]com

monday[.]comは、Codecov社のソフトウェアの脆弱性を最近悪用した攻撃者が、monday[.]comのファイルの1つにアクセスしたことを発見した。このファイルには、monday[.]comのサイトでホストされている公開された顧客フォームまたはビューがリンク先となっている、URLのリストが含まれている。

 

マルタ

国民党

「Avaddon」ランサムウェアのオペレーターは、2021年4月の攻撃で同党から盗まれた1.3GBのデータを公開し、会員費を支払っている党員と、同党のメディア関連会社であるMedia Link Communicationsの従業員の個人情報を流出させた。流出したデータには、氏名、住所、IDカード、そして場合によっては電話番号が含まれている。(21,049)

 

ベトナム

不明

公安省は、ベトナム国民のIDカードが2021年5月13日から「RaidForums」で売りに出されていることを明らかにした。同フォーラムユーザーの「Ox1337xO」は、名前、生年月日、住所、Eメール、電話番号、IDカードの番号、IDカードの表裏の写真を含む17GBのデータベースを販売している。セキュリティ会社BkavのNgo Tuan Anh氏は、ベトナムの国民人口データベースから情報が流出したという証拠はないと述べた。(10,000)

 

トルコ

BtcTurk

2021年5月14日、BtcTurkのユーザーの情報を含むデータセットがオンラインフォーラムで宣伝された。この情報は、2018年7月以前に登録したユーザーのもので、名前、市民のID番号、Eメールアドレス、生年月日、携帯電話番号を含んでいる。また、販売者は、このデータセットにはユーザーが提出した自撮り写真が含まれていると主張した。(516,954)

 

 

銀行・金融に関連して言及された脅威アクター

このチャートは、銀行・金融に関連して先週話題となった脅威アクターを示しています。

 

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

 

銀行・金融

米連邦捜査局(FBI)は、Truist Bank を装った現在進行中のスピアフィッシング・キャンペーンについて警告した。被害者には、Truist ブランドを使用した不正なWindowsアプリケーションをダウンロードするよう促すメールが送信される。このマルウェアは、セキュリティ製品では現在検出されないリモートアクセストロージャンで、キーストロークの記録、スクリーンショットの撮影、権限の昇格、システムレジストリの操作、ファイルのダウンロード、コードの注入などの機能を備えている。BleepingComputerによると、このキャンペーンでは、MayBank、FNB America、Cumberland Privateなどの他の金融機関もなりすまされているとのこと。

 

テクノロジー

「FIN7」が  Windows ネットワーク用の本物のペンテストツールを装った「Lizar」ツールキットを配布していると、BI[…]ZONEの研究者が報告した。同グループは Zoominfo サービスを利用しながら、収益で企業をふるいにかけることで被害者を探している。攻撃者らが Check Point Software Technology と Forcepoint を装っているケースが複数確認されている。研究者は、「Lizar」ツールキットが構造的に「Carbanak」バックドアと比較可能であることを発見した。BI[…]ZONE は、この複雑なツールキットは現在も盛んに開発されている最中だと警告した。現在のところ、「Lizar」に感染したデバイスの多くは米国に拠点を置いているが、研究者らは、このツールが今後世界中の標的に使用されると考えていると述べた。

 

小売・ツーリズム

Malwarebytesの研究者は、Magento 1 を利用する複数のオンラインストアを狙った現在進行中のスキミングキャンペーンを確認した。このキャンペーンでは、「Smilodon」または「Megalodon」と呼ばれる新しいPHPウェブシェルが使用されており、このウェブシェルは、サーバー側のリクエストを通じて JavaScript のスキミングコードをダイナミックにロードするため、ブロックすることが難しくなっている。このマルウェアは、PNGのファビコンを装っている。研究者たちは、このキャンペーンの背後に「Magecart 12」が存在すると考えている。

 

医療

2021年5月13日、国家サイバーセキュリティセンターは、ランサムウェア「Conti」のオペレーターが保健省に対して攻撃を試みたことを知った。ランサムウェアペイロードの実行は、調査員が配備したウイルス対策ソフトなどによって阻止されたと報告されている。同省では、念のためITシステムの一部機能を停止した。この攻撃は現在調査中だが、最近アイルランドのHSE(保健サービス委員会)を標的にしたのと同じキャンペーンの一環であることが判明している。

 

重要インフラ

Dragosの研究者は、2021年2月に発生し未遂に終わったフロリダ州オールズマーの浄水場に対する有毒化攻撃を分析する中で、別の侵入事案を確認した。このインシデントは、フロリダ州の水インフラ建設会社のウェブサイトでホストされていた悪意のあるコードを使用した、水飲み場型攻撃に関連づけられた。このサイトでは、自治体の水道事業者の顧客、州および地方自治体の政府機関、水関連産業の民間企業など、1,000以上のユーザーがプロファイリングされていた。コードは、ダークウェブマーケット「DarkTeam Store」にリンクされていた。同ストアは、新しい「Tofsee」ボットネットの亜種「Tesseract」に感染したシステムが報告された場所でもあった。この「水飲み場」として機能するサイトは、正規のウェブブラウザの動きを装う「Tesseract」の能力を向上させる目的でブラウザのデータを収集するために展開されたと、研究者たちは考えている。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-14-20-may-2021/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/