ランサムウェアESXiArgsによる大規模攻撃、第2波が始まる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ランサムウェアESXiArgsによる大規模攻撃、第2波が始まる

Threat Report

Silobreaker-WeeklyCyberDigest

ランサムウェアESXiArgsによる大規模攻撃、第2波が始まる

山口 Tacos

山口 Tacos

2023.02.10

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

 

ランサムウェアESXiArgsによる大規模攻撃、第2波が始まる(テクノロジー)

世界中で2,800〜3,800のVMware ESXiサーバーが、2年前から存在するリモートコード実行の脆弱性(CVE-2021-21974)を狙ったランサムウェアに侵害されていることが確認された。この攻撃の多くは新種のランサムウェア「ESXiArgs」によるものだが、数件のインシデントにはランサムウェアRoyalやBlack Bastaの新亜種が関与しているとの報告もあった。2023年2月7日に発生した第2波の攻撃では、アップデートされた暗号化メカニズムが使用されており、最近リリースされた復元ツールが有効ではなくなっている。ユーザーに対しては、脆弱なESXi製品を直ちにアップグレードし、OpenSLPサービスを無効にすることが強く推奨されている。

関連記事:ESXiArgsランサムウェア、ヨーロッパ諸国で新たに500以上の標的を攻撃

MKS Instruments Incにランサムウェア攻撃、生産関連システムに影響(米国)

同社に対するランサムウェアの攻撃により、同社の生産関連システムに影響が出た。MKSは、封じ込め措置の一環として、一部の施設の操業を一時的に停止することを付け加えた。

Killnet、米国の複数の医療機関をDDoS攻撃の標的に(ヘルスケア)

公開されたKillnetの最新の分散型サービス拒否(DDoS)攻撃の標的リストには、米国内のさまざまな医療機関が含まれており、少なくとも14の組織が盛んに狙われている。このリストには、米国国土安全保障省(DHS)の管理用Webサイトも含まれていた。Cybernewsによると、同管理用サイトは一時的にダウンしたものの、一般公開されているDHSのサイトには影響がなかったとのこと。これらのDDoS攻撃は、バイデン米大統領が最近、ウクライナに戦車を供与すると約束したことへ対抗するためのものだと考えられている。

暗号資産狙う新たなクリッパーマルウェア「Paradies Clipper」(暗号資産)

「Paradies Clipper」と呼ばれる新しいクリッパーマルウェアを、Perception Pointの研究者が発見した。同マルウェアを使うことで、攻撃者は被害者の暗号資産ウォレットを自身のものに置き換えることができる。またこのマルウェアは、さまざまなフッキング技術を使用して、ウォレットアドレスなどの秘密情報を傍受し、操作する。Paradies Clipperは、C/C++で記述されたPE32ファイルで、難読化された文字列を持たず、永続性を維持するためにレジストリキーを使用する。

2023年2月9日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

 

米国

Guardian Analytics

同社は、Daixin Teamのリークサイトに掲載され、その後、LockBitランサムウェアのリークサイトにも掲載された。漏洩した可能性のあるデータは、氏名、生年月日、医療記録番号、患者のアカウント番号、社会保障番号、医療・治療情報など。

複数

LockBitランサムウェアは、自身のリークサイトに複数の新しい被害者を追加した。これには、Tonoli Group、Crystal Creamery、Sakr Group、Beth Rivkah、Scandia Food、Kostica、Fabricated Pipe Inc.などが含まれる。

米国

Vice Media

2022年3月、権限を持たないアクターがViceの社内メールアカウントにアクセスした。漏洩した可能性のあるデータは、社会保障番号、金融口座番号、クレジットカードおよびデビットカード番号など。(1,724)

英国

Guildford County School

ランサムウェアグループVice Societyは、同校から盗まれたとされる数百のファイルをリークサイトに掲載した。ファイル名から、子供たちの保護報告書が含まれていることが示唆された。

米国

Andersen Corporation

Renewal by Andersenが所有する保護されていないAzureストレージブロブから、約100万件のファイルが流出した。この中には、顧客の自宅の住所、連絡先、住宅リフォームの注文など、約30万件の文書が含まれていた。

米国

Aspire Surgical

サイバーセキュリティインシデントにより、患者の情報が漏洩した。これには、氏名、患者アカウント番号、診療日、支払額などが含まれている可能性がある。

米国

Highmark Health

2022年12月に従業員のメールアカウントが侵害された。漏洩した可能性のあるデータは、氏名、社会保障番号、治療に関する請求など。また一部には、財務情報、住所、電話番号、メールアドレスが流出したケースもある。(300,000)

米国

University of Colorado Hospital Authority

2022年5月に発生したDiligent Corpのデータ侵害で、特定のUCHealthの患者に影響が及んだ。漏洩した可能性のあるデータには、氏名、住所、生年月日、治療関連情報が含まれるほか、ごく限られたケースでは、社会保障番号やその他の財務情報などが含まれる。(48,879)

米国

Nonstop Health

同社に関するデータとソースコードが、人気ハッキングフォーラム2つに流出した。流出したデータ全体は43,532行に及び、氏名、生年月日、住所、個人用メールアドレス、社会保障番号などが含まれると報告されている。同データは以前、ロシア語の人気フォーラムにソースコードファイルと共に投稿されたものである。

米国

Five Guys

BlackCatランサムウェアのリークサイトに同社が追加された。スクリーンショットによると、盗まれた可能性のあるデータには、銀行取引明細書、国際給与データ、採用に関する情報、監査情報などが含まれている。Five Guysは2023年1月にもデータ侵害を公表しているが、この2つのインシデントが関連しているかどうかはまだ不明である。

カナダ

8Twelve Financial Technologies

パスワードで保護されていないオープンなデータベースに、名前、電話番号、メールアドレス、住所などが含まれていた。8Twelveはその後、データベースへの一般アクセスを制限している。(717,814)

米国

Cardiovascular Associates

権限を持たない第三者が、同社のアラバマ拠点から、人口統計情報、社会保障番号、健康保険情報、財務情報などの患者データを抜き取った。

米国

Regal Medical Group

2022年12月に発生したランサムウェアの攻撃により、患者データが流出した。漏洩した可能性のある情報は、氏名、社会保障番号、生年月日、住所、治療情報など。

米国

Southeast Colorado Hospital District

権限のない第三者が従業員のメールアカウントにアクセスした。これにより、氏名、社会保障番号、運転免許証番号、生年月日、治療情報など、一部の人々の個人情報が漏洩した可能性がある。

米国

Jackson & Joyce Family Dentistry

Lockbitランサムウェアのリークサイトに、証拠となるスクリーンショット数枚と共に、同社が追加された。

エクアドル

Seguros Equinoccial

同社がVice Societyのリークサイトに追加された。流出したデータには、氏名、ポリシー、住所、電話番号、メールアドレスなどの個人情報を含むレポートが含まれている。

複数

Lockbit、自身のリークサイトにLuaces Asesores、IT Servicios、Pharma Gestaoなど複数の新たな被害者を追加した。証拠は提示されていない。

メキシコ

Casa Ley

Royalランサムウェアのリークサイトに同食料品店チェーンが追加されたが、証拠は提示されなかった。

韓国

LG Uplus Corp

同社で、顧客の氏名、生年月日、電話番号が流出するデータ侵害が発生した。データ流出の経緯については現在調査中。(290,000)

米国

USセルラー

脅威アクターIntelBrokerが、ハッキングフォーラム「Breached」でデータベースを公開した。USセルラーはその後、このデータベースが同社のサードパーティーベンダーの1つに対する最近の侵害を出どころとするものであることを確認した。漏洩したデータには、名前、メールアドレス、その他の情報が含まれている。(144,000)

米国

PeopleConnect

ハッカーらが、ハッキングフォーラム「Breached」において、2019年4月16日までにTruthFinder、Instant Checkmateを利用した顧客のメールアドレス、ハッシュ化したパスワード、氏名、電話番号などが含まれるとされるバックアップデータベースを流出させた。(20,220,000)

米国

Tallahassee Memorial HealthCare

フロリダ州の同病院が、ランサムウェアの疑いのある攻撃を受け、ITシステムをオフラインにし、緊急以外の処置を停止した。

南アフリカ

RSAWeb

2023年2月1日に同ISPのネットワーク障害が発生し、クラウドおよび共用ホスティングの顧客に影響が及んだ。同インシデントは、ランサムウェアによる攻撃と考えられている。

米国

Hidalgo County Adult Probation Office

2023年2月4日、テキサス州の同保護観察所がランサムウェアの攻撃を受けた。郡判事は、同インシデントは同保護観察所のみに限定されており、同保護観察所は身代金を支払うことなく影響を受けた情報を復旧することができたと述べた。

米国

Sharp HealthCare

同社のWebサイトへのサイバー攻撃により、患者情報が漏洩した。これには、氏名、社内識別番号、請求書番号、支払額、支払いを受けるSharpの事業体名などが含まれる。(62,777)

複数

米国フロリダ州の最高裁判所、ジョージア工科大学、ライス大学のほか、ハンガリーやスロバキアの複数の高等教育機関がランサムウェアの標的となったと報じられており、以前より広く報道されているESXiArgsによる大規模な攻撃の一環である可能性が高いとのこと。

米国

Ross Memorial Hospital

一部の施設が、ランサムウェアの疑いのある攻撃による影響を受けた。伝えられるところによると、同インシデントは、医療ファイルへのアクセスに影響を与えたとのこと。

ロシア

Elevel

同社が所有するオンラインショップの、ある保護されていないデータセットには、700万件のエントリーが含まれていた。この中には、名前、電話番号、メールアドレス、配送先住所、URLエンコードされたログインデータとパスワードが含まれていた。同データセットはその後、保護された。

米国

Weee!

ある脅威アクターが、2023年2月に盗まれたと主張する同社のデータベースをアップロードした。同データには、名前、メール、電話番号、住所、配達の種類、デバイスおよび日付が含まれている。配達記録には、住宅やオフィスビルのドアコードなど、顧客が残したメモが含まれているものもあるとのこと。(11,000,000)

アイルランド

Munster Technological University

同大学で大規模なIT侵害が発生した。この侵害は、脆弱なVMware ESXiサーバーを標的とした国際的なランサムウェア攻撃に関連する可能性がある。

米国

アメリソースバーゲン

ランサムウェアグループ「Lorenz」が、同社を恐喝サイトに追加し、同社と MWI Animal Healthから盗まれたとされるファイルを掲載した。アメリソースバーゲンは、ハッカーが同社の子会社(社名は不明)のITシステムに不正に侵入したことを明らかにした。

米国

DotHouse Health

データ侵害により、氏名、住所、生年月日、カルテ番号などが流出した可能性がある。同社は以前、ランサムウェア「AlphV」のリークサイトに追加され、同脅威アクターは800GBのデータを抽出していたと主張していた。(10,000)

中国

Hong Kong Institute of Bankers

同機関の6台のサーバーがハッキングされ暗号化された。攻撃者は、身代金を払わなければ盗んだファイルをインターネットにアップロードすると脅している。(113,000)

 

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプ

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

政府

ウクライナおよびポーランドの政府機関を装い、悪意あるBATファイルやPowerShellスクリプトを配信する進行中のフィッシングキャンペーンについて、CERT-UAが警告を発した。これらのBATファイルやPowerShellスクリプトは、標的となるシステム上のファイルをスキャンし、抜き取るために使用される。この脅威アクターは、ウクライナ外務省、ウクライナ保安庁、ポーランド警察のWebサイトを偽装していることが観測されている。2022年6月には、同様の詐欺ページがウクライナ国防省のメールポータルになりすましていた。このキャンペーンは、UAC-0114によるものだとされている。同グループには、ロシア語を話すメンバーがいると考えられている。

銀行・金融

脅威アクターWater Dybbukによる高度な標的型ビジネスメール詐欺(BEC)キャンペーンを、トレンドマイクロの研究者が分析した。このキャンペーンは、2022年4月から実施されている可能性が高く、大企業の役員や財務部門のOffice 365アカウントを狙っている。なお標的の大半は米国の組織。初期感染は、悪意あるHTMLファイルを含むスピアフィッシングメールを介して行われる。このキャンペーンでは、オープンソースのツール「BadaxxBot」と「EvilGinx2」が利用されている。BadaxxBotは被害者のIPアドレスとユーザーエージェントを検証するために使用されており、EvilGinx2は被害者のMicrosoft Office 365アカウントからフィッシング認証情報とセッションクッキーを取得するために設定されている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(03 – 09 February 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ