ウクライナ政府機関へのサイバー攻撃、ランサムウェア装い回復メカニズム欠くマルウェアWhisperGateを使用か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ウクライナ政府機関へのサイバー攻撃、ランサムウェア装い回復メカニズム欠くマルウェアWhisperGateを使用か

Threat Report

Silobreaker-WeeklyCyberDigest

ランサムウェア

ウクライナ政府機関へのサイバー攻撃、ランサムウェア装い回復メカニズム欠くマルウェアWhisperGateを使用か

Tamura

Tamura

2022.01.21

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

ウクライナ政府機関へのサイバー攻撃、ランサムウェア装い回復メカニズム欠くマルウェアWhisperGateを使用か

再生可能エネルギーと産業技術関連の組織を狙ったサイバースパイ、15以上の組織が標的に

赤十字国際委員会の委託先企業にサイバー攻撃、秘密データに被害

 

2022年1月20日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Memorial Health System

同医療機関は、2021年7月10日に始まったランサムウェア攻撃によるデータ漏洩に見舞われた。流出した可能性のある患者情報には、氏名、住所、社会保障番号、医療・治療情報、健康保険情報が含まれる。また、職員も影響を受けた可能性がある。(216,478)

スペイン

Hospital Centro de Andalucia

同院は2021年12月中旬にVice Societyによるランサムウェア攻撃の標的となった。同グループは、身代金が支払われなかったことを受けて127GBのファイルをダンプした。侵害された可能性のある情報には、内部文書のほか、従業員情報が含まれる。また、ごく少数の患者関連ファイルも流出した可能性がある。

カナダ

ブラントフォード市

同市でデータ漏洩が起き、市職員の求職記録、ワクチン接種状況、職員の個人住所などが流出した可能性がある。この漏洩は、職員のみがアクセス可能な内部イントラネットシステムのアクセス権限と構成設定が不適切であったために発生した。(525)

米国

Practolytics

2021年11月30日頃、データセキュリティインシデントが発見された。漏洩した可能性のある患者データは、氏名、年齢、性別、住所、生年月日、社会保障番号、メールアドレスなど。(1,107)

米国

バトラー・カウンティ・コミュニティ・カレッジ

Vice Societyが同カレッジのデータを自らのリークサイトにダンプした。今回の流出は、2021年11月に発生したランサムウェア攻撃と関連している可能性がある。ダンプされたデータには、元学生や職員の推薦状、給与情報、障害を持つ特定の学生の滞在施設、および、その他の個人情報を含むファイルが含まれるとされている。

米国

アルバカーキ公立学校区

同学区が2021年1月12日にランサムウェア攻撃を受け、学生情報システムが侵害された。

ドイツ

Hensoldt

同社は、英国子会社のシステムの一部がランサムウェア攻撃によって侵害されたことを認めた。Lorenzランサムウェアのオペレーターがこの攻撃の犯行声明を出しており、ファイル(数量は非公開)を窃取したとされている。攻撃者はその後、盗まれた全ファイルの95%をパスワードで保護されたアーカイブ内で公開した。

米国

Goodwill Industries

同社でデータ侵害が発生し、オークションプラットフォーム「ShopGoodwill」の顧客アカウントが影響を受けた。流出した可能性のある情報には、氏名、メールアドレス、電話番号が含まれる。

インド

Aditya Birla Group

ハッカーグループShiny Huntersが同社が保有するデータベースを公開した。影響を受けている顧客情報は、氏名、電話番号、住所、生年月日など。また、従業員データもリークされた。(5,470,063)

英国

Durham Johnston School

脅威アクターVice Societyが同校に対するランサムウェア攻撃の犯行声明を出し、その後、生徒と教員の個人情報をダークウェブに投稿した。

米国

ニューヨーク州都市交通局

同組織は、2021年12月のKronosに対するランサムウェア攻撃の間に、メトロノース鉄道の現職員および元職員の個人情報が盗まれていたことを認めた。

米国

Caring Communities、Entira Family Clinics

この2つの医療機関は、2020年11月にNetgainで発生したデータ侵害の影響を受けている可能性がある。Entiraはおよそ20万人にこの侵害について通知したが、Caring Communitiesの患者の何人が影響を受けたかはまだ不明。漏洩した可能性のある情報には、氏名、住所、社会保障番号、病歴が含まれる。

米国

Illuminate Education

同社で、2022年1月8日からセキュリティインシデントが起きていた。このインシデントは、人気の学校管理プラットフォームSkedulaとPupilPathに影響を与え、結果としてニューヨーク市の学校数十校の業務に影響が出た。

フランス

モンクレール

2021年12月のAlphVランサムウェアの攻撃により、モンクレールでデータ侵害が発生した。攻撃者は、現在および過去の従業員、サプライヤー、コンサルタント、ビジネスパートナー、および顧客に関する抜き取ったデータをリークした。

英国

Optionis Group

SJD AccountancyとNixon Williamsは、最近のサイバー攻撃について顧客に通知した。この攻撃の結果、主要システムに影響が及び、サービスに「重大な混乱」が生じていた。同じくOptionis Groupの企業であるParasol Groupは、ネットワーク停止の原因がサイバー攻撃であることを2021年1月14日に認めた。The Registerによると、ユーザーはランサムウェアが関与している可能性があると考えているとのこと。

南アフリカ

道路交通法違反局

同局は、新たな交通法に基づく違反通知を受けた南アフリカ在住のすべての人の個人情報を誤って流出させた。流出したデータには、氏名、ID番号、住居または勤務先の住所、電話番号、車両登録情報、違反の詳細が含まれる。

米国

OpenSubtitles

同サイトは2021年8月にサイバー攻撃の標的となり、盗まれたデータの一般公開を防ぐために要求された身代金を支払った。その後、盗まれたデータのコピーがネット上に流出し、メールアドレス、ユーザー名、MD5でハッシュ化されたパスワードが漏洩した。(6,783,158)

米国

Sea Mar Community Health Centers

同社から抜き取られたとされる約2GBのデータが、クリアネットと、脅威アクターSnatch Teamに関連するダークウェブサイトの両方でリークされた。このリークデータには、2021年6月のMarketo上でのリークでは公開されていなかったデータが含まれている模様。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、住所、電話番号が含まれる。(160,000)

米国

RR Donnelley

2021年12月27日、Contiランサムウェアのオペレーターがサイバー攻撃でデータを盗み、一時的に2.5GBのデータをネット上に公開した。同社は、一部の企業データが侵害されたことを認めた。

スイス

赤十字国際委員会

世界中の少なくとも60の赤十字社および赤新月社に属するデータを保管していたスイスの外部企業に対するサイバー攻撃により、秘密データが侵害された。影響を受けた人々は、紛争、移住、災害により家族と離ればなれになった人々、行方不明者、拘留中の人々を含み、「非常に脆弱」であると説明されている。(515,000)

米国

ネブラスカ州ドーソン郡

2021年9月29日に発生したランサムウェア攻撃で同郡のネットワークが不正アクセスを受け、従業員、住民、ベンダーの個人情報が流出した可能性がある。一部のデータは、攻撃者によってダークウェブに投稿されたとされている。運転免許証番号や社会保障番号などが影響を受けた可能性がある。

 

ヘルスケアに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプを示しています。

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府:ウクライナ政府機関へのサイバー攻撃、ランサムウェア装い回復メカニズム欠くマルウェアWhisperGateを使用か

ウクライナの政府機関、非営利団体、IT組織を標的とした破壊力の強いマルウェアオペレーションにより、70以上の政府Webサイトが影響を受けた。この攻撃は2022年1月13日に初めて観測されており、おそらくサプライチェーン攻撃が関係している。少なくとも2つのウクライナ政府機関のシステムが、マルウェアWhisperGateを使用してワイプされた。同マルウェアはランサムウェアに偽装しているが、回復メカニズムを持たない。マイクロソフトはこの攻撃をDEV-0586と名づけたが、他の既知のグループとの目立った関連性は見つかっていない。ウクライナの代表者は、この攻撃をロシアと結びつける証拠を所有していると主張した。ウラジーミル・プーチン大統領の報道官ドミトリー・ペスコフ氏は、ロシアの関与を否定した。ウクライナの国家安全保障国防会議のセルヒー・デメデューク副書記は、この攻撃はベラルーシの諜報機関との関連が指摘されるアクターUNC1151によるものであると非難した。

暗号資産

BlueNoroffのSnatchCryptoキャンペーンが2017年から今も続いているとカスペルスキーの研究者が警告した。このキャンペーンは、暗号資産やスマートコントラクト、DeFi、ブロックチェーン、フィンテック関連の企業を標的とし、広範囲な偵察を行ってソーシャルエンジニアリングによるフィッシングメールを配信している。また、侵害されたシステムにWindows実行ファイル型のバックドアをインストールすることで認証情報の収集と暗号資産の窃取を行うことを目的としている。被害者は、ロシア、ポーランド、スロベニア、ウクライナ、チェコ共和国、中国、インド、香港、米国、シンガポール、アラブ首長国連邦、ベトナムで確認されている。

テクノロジー

有害なMicrosoft Excelアドイン(XLL)ファイルを使用してシステムに感染するマルウェアキャンペーンの増加を、HPの研究者が検出した。今回確認されたキャンペーンでは、有害なXLLの添付ファイルまたはリンクがメールで送信され、Dridex、Agent Tesla、Raccoon Stealer、Formbookなどのマルウェアが配信された。ユーザーは、添付ファイルを開くと、アドインをインストールして有効化するよう促される。有害なコードは通常、有効化の後すぐに実行される特定の関数に配置されているため、マルウェアは1回のクリックだけで実行される。

重要インフラ:再生可能エネルギーと産業技術関連の組織を狙ったサイバースパイ、15以上の組織が標的に

再生可能エネルギーと産業技術関連の組織を狙ったサイバースパイキャンペーンを、セキュリティ研究者のWilliam Thomas氏が発見した。同キャンペーンは遅くとも2019年から行われている。攻撃者は、カスタマイズされているが高度ではない「Mail Box」フィッシングキットを使用し、正規のWebサイトを侵害してユーザーのパスワードを収集する。これまでにSchneider Electric、Honeywell、Huawei、HiSilicon、Telekom Romaniaなど15以上の組織が標的となっており、再生可能エネルギー関連の組織では、ブルガリアのKardzhali水力発電所とCEZ Electro、カリフォルニア州大気資源委員会などが標的となっている。また、ウィスコンシン大学、カリフォルニア州立大学、ユタ州立大学など、米国の複数大学も標的になっている。

銀行・金融

シンガポール警察は、OCBC銀行になりすますフィッシング詐欺の増加について注意喚起した。標的のユーザーには、「銀行口座に問題があり、解決するためにはリンクをクリックする必要がある」とするSMSが送られる。正規のものに見えるよう、攻撃者は送信者名を偽るとともに、過去にOCBC銀行から送られた正規のメッセージを含むSMSスレッドの中に偽のSMSを挿入する。2021年12月1日以降、少なくとも469人の被害者が確認され、850万シンガポールドル(630万米ドル)以上が盗まれている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-14-20-january-2022/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ