LockBit 3.0が大宮化成からデータを盗んだと主張 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > LockBit 3.0が大宮化成からデータを盗んだと主張

Threat Report

Silobreaker-WeeklyCyberDigest

LockBit 3.0が大宮化成からデータを盗んだと主張

佐々山 Tacos

佐々山 Tacos

2022.10.21

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

LockBit 3.0が大宮化成からデータを盗んだと主張

三菱UFJモルガン・スタンレー証券で顧客情報の漏洩が発生

ウクライナとポーランドの運輸業界等を狙う新たなランサムウェアキャンペーン「Prestige」をマイクロソフトが観測

 

2022年10月20日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

スペイン

Consorci Sanitari Integral

脅威グループ「RansomExx」は、2022年10月7日のランサムウェア攻撃で盗んだとする52GBのデータを流出させた。これには、医療検査の結果や身分証明書などが含まれていると報じられている。

米国

Snap

2022年3月、サードパーティーの文書分析会社Elevateでのデータ侵害により、従業員データが影響を受けた。影響を受けたデータには、氏名、住所、職歴、報酬情報が含まれる可能性がある。

米国

末日聖徒イエス・キリスト教会

同教会は2022年3月、特定のコンピューターシステム上で不正な活動を検知した。このインシデントは、教会メンバー、従業員、請負業者、および関連組織の個人データに影響を及ぼした。漏洩した可能性のあるデータは、氏名、性別、メールアドレス、生年月日、宛先、電話番号など。

英国

Advanced

NHSの同サービスプロバイダーは、2022年8月のランサムウェア攻撃で、攻撃者が同社システムからデータを盗んだことを確認した。同社は、患者データが影響を受けたかどうかを明らかにしていない。

ニュージーランド

オタゴ大学

セキュリティ上の欠陥により、大学のメールを持つ誰もが、職員や学生の慎重に扱うべきデータを含むデータベースにアクセスすることが可能になった。これには、自宅住所、パスポート情報とビザ情報、職員のユーザーID、銀行の明細書などが含まれる。

オーストラリア

MyDeal

2022年10月14日、Woolworthsの同子会社は、顧客関係管理システムが漏洩したユーザー認証情報を使ってアクセスされたことを確認した。このデータ侵害により、氏名、メールアドレス、電話番号、配送先住所、生年月日が影響を受けた。(2,200,000)

コスタリカ

ベレン

2022年10月11日、同自治体はサイバー攻撃と疑われるものの標的になったことを確認した。脅威アクターKarakurtがこの攻撃の犯行声明を出した。Karakurtは、PDFやExcel文書、不動産画像、請求書などの企業データ373GB分を盗んだとされている。

コロンビア

Emtelco

2022年10月8日、脅威アクターQilinは同社をリークサイトに追加し、数百ギガバイトのデータを2022年8月に取得したと主張した。少量の証拠データには、個人情報はほとんど含まれていないものの、Emtelcoのファイルが巻き込まれたことは明白である。

ブラジル

Lojas Torra

2022年10月8日、脅威アクターQilinは同小売企業をリークサイトに追加し、顧客と従業員のデータを2022年9月7日に盗んだと主張した。

米国

ニューメキシコ州規制・免許局 (RLD)

同局で不正アクセスが発生したが、その後、隔離・緩和された。RLDは、記録がアクセスされた可能性のある個人と組織に通知を行っている。

米国

Nationwide Retirement Solutions

2022年9月、同社は、匿名の人物が同社顧客に関する特定の個人情報を入手したと主張していることを公表した。これには、退職年金加入者の姓、社会保障番号、生年月日、メールアドレス、電話番号の一部などが含まれる。(1,687)

カナダ

オンタリオ州ハミルトン

同市は個人のプライバシーを意図せず侵害した。次の選挙で郵便投票に登録したハミルトン市民への大規模なアップデートで、個人のメールアドレスを閲覧可能な状態にしたため。(450)

日本

大宮化成

LockBit 3.0のオペレーターは、同技術関連企業からデータを盗んだと主張し、身代金要求に応じない場合、2022年10月20日までにデータをリークすると脅迫した。攻撃者は、盗まれたとされるデータのサンプルをまだ公表していない。

ドイツ

Heilbronn Stimme

2022年10月14日に発生したランサムウェアの攻撃により、同新聞社の印刷システムが機能不全に陥った。この攻撃は有名なサイバー犯罪者グループによって行われ、同グループはデータを暗号化して身代金要求文を残していったと報じられている。このインシデントは、Pressedruck、Echo、RegioMailを含むStimme Mediengruppe全体に影響を及ぼした。

米国

Keystone Health

2022年7月28日から8月19日の間に、権限のない者が同社システム内の患者情報を含むファイルにアクセスした。これらのファイルの一部に含まれる情報には、氏名、社会保障番号、臨床情報などがある。(235,237)

米国

複数の医療機関

6つの医療機関が、サードパーティーベンダーKaye-Smitに対する2022年6月のランサムウェア攻撃により、患者と従業員のデータに影響を及ぼすデータ侵害が発生したことを報告した。侵害された情報には、氏名、住所、カルテ番号、診療日、分割払いプラン、従業員の社会保障番号が含まれる。影響を受けた医療機関は、UW Medicine、Geisinger、Seattle Children’s St Luke’s Health System、MultiCare Health Systemなど。

英国

Kingfisher Insurance

LockBitランサムウェアグループは最近、同保険会社と、同社の車両保険ブランドの1つであるFirst Insuranceをリークサイトに追加した。同グループは、従業員や顧客の個人情報を含む1.4TBのデータを盗んだと主張している。

オーストラリア

Vinomofo

権限のない第三者が、テストプラットフォーム上の同社データベースにアクセスした。漏洩した可能性のある顧客およびメンバーの情報は、氏名、性別、生年月日、住所、メールアドレス、電話番号など。

インド

Aarti Drugs

BianLianランサムウェアは、2022年9月9日に同社をリークサイトに追加し、盗まれたとされる約6GBのデータの販売を宣伝した。これには、融資関連文書、税の申告書、従業員データ、保険情報などといった事業・経営関係のデータが含まれている。

米国

ベライゾン

2022年10月6日から10月10日の間に、一部顧客がアカウント上での自動支払いに使用しているクレジットカード下4桁に、第三者がアクセスした。この情報を利用して、同アクターはアカウントとアカウント内の個人情報にアクセスすることができた。攻撃者は、クレジットカード番号全体や、銀行情報、財務情報、パスワード、社会保障番号、納税者ID、その他個人情報にはアクセスしなかった。

日本

三菱UFJモルガン・スタンレー証券

2022年10月19日、日本証券業協会は同証券会社から顧客情報が流出したことを公表した。三菱は、顧客の非公開情報499件を、一部の社債発行先に共有したという。(401)

セネガル

アフリカ・マダガスカル航空安全公団

2022年9月、同機関がランサムウェア攻撃を受けた。LockBitグループが、同機関に2万5千ドルの身代金を要求したと伝えられている。

米国

ウィットワース大学

同大学は、2022年7月29日にLockBitランサムウェアの攻撃を受け、データ侵害の被害に遭った。攻撃者が、氏名、学生証番号、州の身分証明書番号、パスポート番号、社会保障番号、健康保険情報にアクセスした可能性がある。(5,182)

米国

Parler

2022年10月17日、同ソーシャルネットワーキングサービスは、認証済みユーザーの名前とメールアドレスの一部が見えるようになった状態のメールを全ユーザーに送信した。その中には、イヴァンカ・トランプ氏、共和党の下院議員エリス・ステファニック氏、右派のソーシャルメディア・インフルエンサーであるアンディ・ノー氏、キャンディス・オーウェンズ氏らが含まれていた。(~200)

フランス

L’Hôpital Pierre-Rouquès – Les Bluets

2022年10月9日、この病院が、Vice Societyランサムウェア攻撃の標的になり、Eメールシステムが影響を受けた。同グループは、ネットワークから150GBを超えるファイルを抜き取ったとされている。Vice Societyはすべてのファイルを暗号化したと主張しているが、病院側の主張によると、ほとんどの医療記録がアクセス可能なままであるとのこと。

米国

マイクロソフト

マイクロソフトが所有するAzureサーバーの設定ミスにより、2017年から2022年8月までのファイルを含む2.4TB分のデータが流出したと報じられている。流出したのは111か国の諸企業65,000社以上に属する重要なデータで、これには335,000通以上のEメールが含まれている。マイクロソフトは流出を認めており、流出したデータには、氏名、メールアドレス、Eメールの内容、会社名、電話番号が含まれるとしている。一方で同社は、流出範囲が「大幅に誇張されている」とも述べている。

オーストラリア

Medibank

同社は、最近発生したサイバー攻撃がランサムウェア関連のものだったことを確認した。攻撃者は、顧客の医療情報を含む200GB分のデータを攻撃時に盗み出した。

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の脅威アクターを示しています。

過去1週間にトレンドとなった、政府関連の脅威アクター

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行・金融

イタリアのオンラインバンキングユーザーのバンキング認証情報を標的としたフィッシングサイトのネットワークを、Threat Fabricの研究者が発見した。このネットワークの運営者は、TOAD(Telephone-Oriented Attack Delivery)という戦術を使用して、Android向けバンキング型トロイの木馬Copybaraを配布している。このマルウェアは、アクセシビリティサービスを悪用して、被害者のバンキングアプリケーション内で不正な動作を実行する。また、偽の入力フォームを動的に構築し、被害者に表示することも可能。

暗号資産

北朝鮮のハッカー集団「Lazarus」が日本の暗号資産関連企業に対してサイバー攻撃を行っていると、警察庁が注意喚起した。報道によると、攻撃者は、企業の幹部を装ったフィッシングメールやソーシャルメディアを使って従業員を狙い、コンピューターをマルウェアに感染させているとのこと。標的となった企業の中には、社内システムがハッキングされ、暗号資産が盗まれた企業もある。

重要インフラ:ウクライナとポーランドの運輸業界等を狙う新たなランサムウェアキャンペーン「Prestige」をマイクロソフトが観測

ウクライナとポーランドの運輸業界および関連する物流業界を標的とした新たなランサムウェアキャンペーン「Prestige」を、マイクロソフトが観測した。この活動の被害者像は、ロシア国家と連携した最近の活動の被害者像と共通しており、また、被害者はマルウェアFoxBladeの以前の被害者と重複している。Prestigeランサムウェアはまだ既知の脅威グループと関連付けられておらず、DEV-0960として追跡されている。このランサムウェアは、CryptoPP C++ライブラリを活用して特定のファイルをAESで暗号化し、カスタムファイル拡張子ハンドラを作成する。このカスタムファイル拡張子を持つファイルはすべて、開封された際にメモ帳を使って身代金要求のメモを表示する。

小売・ホスピタリティ

高度持続型脅威グループDiceyFが、GamePlayerFrameworkマルウェアを使って東南アジアのオンラインカジノ開発・運営環境を標的にしている。カスペルスキーによると、このグループはEarth Berberokaの活動や「Operation DRBControl」と連携しており、「LuckyStar PlugX」との部分的一致も確認されたとのこと。この活動は、新たに開発されたコアマルウェアセットを用いた後続のキャンペーンであると考えられており、スパイ活動やIP窃取に使用されている可能性がある。このキャンペーンでは、従業員監視システムとセキュリティパッケージ開発サービスを使ってGamePlayerFrameworkが配布されている。配布は、安全なメッセージクライアント開発スタジオから盗まれた可能性のあるデジタル証明書を使用して行われる。

政府

2022年8月、Malwarebytesの研究者は、スリランカの政府機関を標的とした新たなキャンペーンを確認した。このキャンペーンでは、初期感染ベクターとしてISOファイルが使用され、DBoxAgentと名付けられた新たなバックドアが配布される。このバックドアはDropboxをC2として使用しており、情報の窃取や追加のマルウェア(SerialVlogger、第3段階のDLLローダー「VLOG.IPDB」、KeyPlugマルウェアなど)のダウンロードを行うことができる。このキャンペーンは、Winntiの傘下にあるものだと考えられている。この攻撃の時期は、中国とスリランカが関わる大きな地政学的事象と重なっており、このグループがスリランカを標的にするのは初めてだと考えられている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(14 October 2022 – 20 October 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ