ClopランサムウェアグループによるMOVEit狙った攻撃、被害組織が続々明らかに | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ClopランサムウェアグループによるMOVEit狙った攻撃、被害組織が続々明らかに

Threat Report

Silobreaker-WeeklyCyberDigest

ClopランサムウェアグループによるMOVEit狙った攻撃、被害組織が続々明らかに

山口 Tacos

山口 Tacos

2023.06.16

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

ClopランサムウェアグループによるMOVEit狙った攻撃、被害組織が続々明らかに

プルデンシャル(マレーシア)

プルデンシャル・アシュアランス・マレーシア(PAMB)およびプルデンシャルBSNタカフル(PruBSN)は、ClopランサムウェアグループによるMOVEit Transferの悪用により影響を受けたことを認めた。侵害された可能性のある代理店および顧客データには、氏名、連絡先、国民識別番号、銀行口座番号、クレジットカード情報の一部が含まれる。

ロンドン交通局(英国)

同機関がClopによるMOVEit Transferを狙った攻撃の影響を受け、超低排出ガスゾーンとCongestion Charge(渋滞税)のデータベースが侵害された。同データベースにはドライバーの情報が含まれている。(13,000)

その他

MOVEit Transferソリューションに対するClopランサムウェアによる攻撃の新たな被害者が複数確認された。その中には、 Illinois Department of Innovation and Technology、ミネソタ州教育庁、米国のネットワーク企業Extreme Networks、アイルランド保健サービス委員会(HSE)、Ofcom、Halifax Waterが含まれている。

銀行・金融サービス組織狙ったAiTMフィッシングとBEC攻撃をマイクロソフトが発見

マイクロソフトの研究者は、銀行および金融サービス組織を標的とした多段階のAdversary-in-the-middle(AiTM)フィッシングおよびビジネスメール侵害(BEC)攻撃を発見した。攻撃の開始にあたっては、信頼の厚いベンダーの侵害されたアカウントが使用されていた。これにより、複数の組織に及ぶ一連のAiTM攻撃とそれに続くBECアクティビティが発生した。このフィッシングキャンペーンでは、実在のサービスであるCanvaがなりすましの対象となり、Microsoftのページに見せかけた認証情報の取得ページが使われることが多かった。

ロシアのハクティビストグループNoName057(16)、スイスの重要インフラサイトへDDoS攻撃を行ったと主張

2023年6月13日、ロシアのハクティビストグループNoName057(16)が、スイスの重要インフラのWebサイトに対する一連の分散型サービス拒否攻撃の犯行声明を出した。標的に含まれるのは、スイス軍、ベルン空港、ジュネーブ国際空港のほか、グレンヘン、ガレン・アルテンライン、サメダンの空港、および航空会社のZimex AviationとHeliswiss。ハッカーの主張によると、今回の攻撃はスイスのウクライナ支援と欧州連合の対ロシア制裁に対する報復であるとのこと。

2023年6月15日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

英国

Lantum

古いWebサイトのバックエンド版がネット上でアクセス可能であることが見つかり、一般開業医の個人情報が流出した。同データは2014年から2016年までのもので、パスポートの詳細、医療文書、自宅住所などが含まれる。(3,200)

エストニア

i2VPN

ハッカーは、同VPNサービスから盗まれたとされるデータをTelegramチャンネルに投稿した。同データにはi2VPNのダッシュボードURL、管理者認証情報、ダッシュボードバックエンドのスクリーンショットが含まれる。また同スクリーンショットにより、ユーザーID、アカウント名、メールアドレス、支払い方法などのユーザー情報が公開されている。

米国

Yukon-Kuskokwim Health Corporation

同ヘルスケア管理者は、2023年3月28日にランサムウェア攻撃を受け、現在および過去の患者に影響を及ぼすデータ侵害に見舞われた。

ドイツ

Pflegia

一般に公開されているアマゾンウェブサービス(AWS)のクラウドインスタンスで、36万件以上のファイルが公開状態になった。そのほとんどがユーザーから提出された履歴書であった。流出した可能性のある情報には、氏名、生年月日、職歴、メールアドレス、自宅住所、電話番号などが含まれる。

米国

GCM Inc

2022年12月15日以前に攻撃者が内部ITシステムに最初にアクセスした後、データ侵害が発生した。流出した情報には、自宅住所、メールアドレス、金融口座情報、州および連邦政府発行の身分証明書番号、社会保障番号が含まれる。

米国

New Enchantment Group LLC

2022年10月3日から10月4日にかけて攻撃者が同社の社内ITシステムにアクセスした。流出した情報には、姓名、自宅住所、メールアドレス、金融口座情報、社会保障番号などが含まれる。

米国

Summit Eye & Optical

特定のシステムへの不正アクセスにより、生年月日、処方箋情報、診断情報、治療情報、治療提供者、健康保険情報、医療情報を含む、患者の健康情報が侵害された。

米国

Over the Top Marketing

攻撃者が、2022年11月29日にもしくはそれ以前に特定の社内ITシステムにアクセスした。流出した情報には、姓名、自宅住所、メールアドレス、金融口座情報またはペイメントカード番号、州および連邦政府発行のID番号、社会保障番号が含まれる。

米国

Shasta Community Health Center

取引先であるアルバリア社が、2023年3月9日にランサムウェア攻撃を受けた。流出した患者データには、氏名、電話番号、住所、関連する医療機関名が含まれる。

米国

Sparta Community Hospital

2023年3月27日から3月28日にかけて、権限を持たない個人が職員のメールアカウントにアクセスした。これにより、氏名、住所、電話番号、生年月日、医療記録番号、医師の氏名、医療診断、一部の治療情報を含む、患者の保護対象保健情報が流出した。金融データおよび社会保障番号への影響はなかった。(900)

米国

Columbus Regional Healthcare System

Daixinランサムウェアは、2023年5月18日に同非営利団体を標的とし、70GBのデータを抜き取りバックアップを削除した後、サーバーを暗号化したと主張している。それ以来、攻撃者は会計や請求の記録を含む25万件以上のファイルを流出させている。

インド政府

インドの政党Trinamool Congressは、新型コロナワクチンを接種したインド人の個人データを含むデータベースが流出したと主張した。この侵害は当初コロナウイルス追跡アプリAarogya Setuに、後にCoWINアプリに関連付けられた。流出したデータには、携帯電話番号、Aadhaar番号、パスポート番号、有権者IDなどが含まれると言われている。政府は以来これらの報道を否定している。

トルコ

e-Devlet

Sorgu Paneliと呼ばれるWebサイトが、政府サービスサイトe-Devletから盗まれたとされるトルコ国民の個人データを宣伝している。流出したデータには、ID番号、電話番号、家族に関する情報が含まれる。有料のプレミアム会員になると、住所、不動産物件譲渡証書、学歴などの情報を入手できるという。(~85,000,000)

英国

シェル

電気自動車(EV)充電ネットワーク「Shell Recharge」に関する約1テラバイトのログデータが、パスワードで保護されていないデータベースに含まれていた。同データには、充電ネットワークを利用する車両の顧客の名前、メールアドレス、電話番号、また車両オペレーターの名前が含まれていた。さらに個人宅の充電ポイントを含む、シェルのEV充電ステーションの位置も含まれていた。同データベースはその後、保護された。

米国

Intellixhart

Fortra社のGoAnywhere MFTに対するClopランサムウェアによる攻撃で、患者情報が盗まれた。このインシデントは、氏名、住所、生年月日、社会保障番号に影響を及ぼした。また、患者の医療費請求情報や保険情報、および診断や投薬にも影響があった。(489,830)

オーストラリア

FIIG Securities

ALPHVランサムウェアグループが、385GBのデータを盗んだと主張している。これには、従業員の個人情報などの社内データ、顧客の書類、およびプロジェクトや計画などから成るデータベースが含まれていると言われている。FIIGは、権限のない者が同社のITシステムにアクセスしたことを認めている。

英国

マンチェスター大学

同大学がサイバーインシデントに遭った。このインシデントは2023年6月6日に初めて発見されたもので、攻撃者が特定のシステムにアクセスし、データを盗んだ可能性が高い。影響を受けたデータを特定するための調査が進行中。

米国

HomecareGPS

消費者の機密情報が不正アクセスの対象となった。これには、保護対象保健情報が含まれる可能性が高い。(31,248)

米国

CareNet Medical Group PC

2022年5月9日から6月4日の間に、権限のない者が同社のコンピューターネットワークにアクセスし、特定のファイルを削除した。侵害されたデータには、フルネーム、社会保障番号、住所、運転免許証番号、銀行口座番号、銀行口座ルーティング番号、生年月日、医療参照番号などが含まれる。

英国

シェフィールド市議会

同市議会は、Capita社に対する2023年4月のランサムウェア攻撃によりデータ侵害が発生したことを認めた。この侵害は、Capitaと個別に契約を結んでいるシェフィールド市内の多数の学校に影響を及ぼしている。侵害された情報には、氏名、生年月日、国民保険番号などが含まれる。

チリ軍

Rhysidaランサムウェアが、チリ軍を標的にしたと主張している。このグループは現在、盗まれたとされる機微データをオークションにかけている。

ドイツ

Kaiserslautern University of Applied Sciences

2023年6月9日、同大学は、ランサムウェア攻撃の標的になってITインフラ全体をオフラインにすることを余儀なくされたことを認めた。これには、大学のメールアカウントや電話システムが含まれる。攻撃者によって何らかの情報が抜き取られたかどうかはまだ不明。

米国

テネシー州フランクリン

Trigonaランサムウェアが2023年3月に同市を攻撃したと主張した。同グループは、「ほとんどの職員のパスワードと情報」を含む428GBのファイルを抜き取ったとされている。さらに盗まれたとされるデータには、警察、SWAT、消防署、市職員などに関する個人情報が含まれている。

米国

MercyOne Clinton Medical Center

2023年3月7日から4月4日の間に、権限のない第三者が同社のネットワークにアクセスした。侵害された可能性のあるデータは、氏名、住所、治療内容、保険データなど。(21,000)

米国

Sparta Community Hospital District

2023年3月27日から3月28日にかけて、権限を持たないアクターが職員のメールアカウントにアクセスした。この侵害により、氏名、住所、電話番号、生年月日、医療記録番号などが影響を受けている。(900)

米国

Canopy Children’s Solutions

2023年4月4日、同社のシステム上で暗号化されたファイルが発見された。特定のシステムへの不正アクセスが発生したことで、ファイルやフォルダーが取得されたり、アクセスされたりした可能性がある。このインシデントに関する調査は現在進行中。

米国

CIBT Inc

2023年6月8日、同渡航ビザおよび移民サービスプロバイダーは、最近発生したサイバー攻撃に起因するデータ侵害を公表した。権限のない者が、2022年11月に消費者の氏名、住所、生年月日、社会保障番号、パスポート番号、健康保険情報にアクセスした。

米国

ジョージア州フォーサイス郡

同郡は最近、ネットワークに対するランサムウェアの疑いのある攻撃を発見し、阻止した。攻撃中、権限のない者がネットワークの一部にアクセスすることができた。調査の結果、特定のファイルがサーバーから削除されていることが判明した。

アルゼンチン

Argentinian National Securities Commission

​​2023年6月7日に発生したMedusaランサムウェアの攻撃により、さまざまな公式サイトがダウンした。攻撃者は、身代金が支払われない場合、盗まれたとされる1.5TB分の財務情報を1週間以内に公開すると脅した。

米国

Zacks Investment Research

Have I Been Pwnedは、ユーザー記録を含むデータベースが影響を受けた、これまで公表されていなかったデータ侵害を掲載した。侵害されたデータには、メールアドレス、ユーザー名、ソルト化されていないSHA256のパスワード、住所、電話番号、姓名などが含まれる。この侵害はその後、同社によって確認された。(8,800,000)

南アフリカ

南部アフリカ開発銀行

同政府系銀行は、2023年5月21日前後にAkiraランサムウェアの攻撃を受けたことを明らかにした。この攻撃により行員の個人情報が侵害された可能性が高いが、該当するデータはおそらく氏名と姓に限定される。

米国

ノースイースタン州立大学

2023年5月29日、オクラホマ州の同大学は、ネットワークに大きな影響を与えるサイバーセキュリティインシデントに見舞われたことを明らかにした。その後、Rhysidaランサムウェアのアクターが同大学をリークサイトに追加し、盗んだとされるデータのスクリーンショットを掲載した。

米国

Maimonides Medical Center

2023年3月18日から4月4日の間に、特定の患者情報を含むサーバーへの不正アクセスが発生した。侵害された可能性のあるデータには、氏名や住所のほか、一部の臨床情報が含まれる可能性がある。また、少数のケースで社会保障番号も影響を受けた可能性がある。(33,000)

米国

Great Valley Cardiology

2023年2月2日から4月14日の間に、ペンシルバニア州の同医療機関のネットワークに権限を持たない者がアクセスした。攻撃者は、氏名、住所、生年月日、社会保障番号、パスポート番号、銀行口座情報などを含む個人情報にアクセスすることができた。(181,764)

ベルギー

Automatic Systems

ALPHVランサムウェアグループが、Automatic Systemsへの攻撃で、NATO、Alibaba、Thalesなどに属する機密データを盗んだと主張した。証拠としてリークされたサンプルデータには秘密保持契約書やパスポートなどが含まれており、パートナーやクライアントの個人情報が盗まれた可能性があることが示唆されている。同社はこの攻撃について認め、2023年6月3日に行われたとしている。

インド

Poorvika

800万件以上の文書を含む保護されていないデータベースにおいて、給与情報、詳細な雇用記録、顧客データなど、個人を特定できる非常に機密性の高い情報が公開状態になっていた。Poorvikaはその後、公開されていたデータベースを保護した。

アンゴラ

Sonangol

ALPHVランサムウェアが同ガス生産業者をリークサイトに追加し、210GBのデータを盗んだと主張した。同グループは、盗まれたとされるデータをリークすると脅迫している。

米国

Tompkins-Seneca-Tioga Board of Cooperative Educational Services

2023年4月2日に権限のない者が同組織のコンピューターシステムにアクセスし、消費者情報を盗み出した。これには、氏名、社会保障番号、口座振替に使われる金融口座情報が含まれる。

米国

Paris Cooperative High School

Rhysidaランサムウェアがイリノイ州の同高校に対して攻撃を実施したと主張し、「オークション」のアイテムとして同校をリークサイトに追加した。Rhysidaは主張の証拠として、同校のシステムから抜き取られたとされるファイルや画像のコラージュを提供した模様。

オランダ

OSG Hengelo

同学区がランサムウェア攻撃を受けた。ハッカーによってどのようなデータが取得された恐れがあるのかはまだ不明。情報筋は、学校と攻撃者の間で取引が成立したことを仄めかしている。

米国

複数

LockBitランサムウェアが、リークサイトでRAM Mutual Insurance Company、GSL Electric Inc、Erie Materials Incが被害者となった旨を主張している。

米国

Generations Federal Credit Union

権限を持たない者が、消費者の氏名、社会保障番号、住所、政府発行のID番号などにアクセスした。

米国

Essen Medical Associates

2023年3月14日から3月22日の間に、権限を持たない者が同社のネットワークに保存されていた患者の秘密情報にアクセスすることが可能となっていた。これらの情報は盗まれた可能性がある。侵害された消費者情報には、氏名、生年月日、社会保障番号、パスポート情報などが含まれる。

米国

R&B Corporation of Virginia

同債権回収サービスプロバイダーは、2023年3月7日、ネットワーク上で「異常な活動」を確認した。侵害された可能性のあるデータには、氏名や社会保障番号、一部の運転免許証番号が含まれる。影響を受けたプロバイダーには、Atlantic Orthopaedic Specialists、Chesapeake Radiology、Children’s Specialty Group、Dominion Pathology Laboratory、Emergency Physicians of Tidewater、Mary Washington Healthcare、Medical Center Radiologists、Riverside Health System、Sentara Health System、およびVary Health Systemsが含まれる。

教育に関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、教育関連のランサムウェアを示しています。

過去1週間にトレンドとなった、教育関連のランサムウェア

テクノロジー

2023年5月、VulnCheckの研究者は、Signalのゼロデイエクスプロイトとされる悪意あるGitHubリポジトリを発見したほか、同様のリポジトリが5月中を通して発見された。攻撃者は、High Sierra Cyber Securityという偽の会社の一員を装うアカウントとTwitterプロフィールのネットワークを作成することで、これらのリポジトリの信憑性を高めようとした。これらのアカウントには、実在するサイバーセキュリティ研究者の顔写真が使用されている。各アカウントには、有名な製品のエクスプロイトであるとされる悪意あるリポジトリが含まれており、悪意あるバイナリをダウンロードして実行するためのコードが含まれている。このPythonスクリプトは、被害者のホストOSに応じて異なるペイロードをダウンロードすることになる。

小売

Bolsterの研究者は、100以上の人気アパレルブランドを狙う、金銭的利益を得ることを目的とした広範囲に及ぶブランドなりすまし詐欺を発見した。このキャンペーンは2022年6月頃に始まり、フィッシング活動は2022年11月から2023年2月にかけてピークに達した。3,000件以上のドメインが生きたまま残っており、ブランドなりすましドメインの数は6,000件を超える。攻撃者は主に、ブランド名と無作為に選ばれた国名の後に汎用トップレベルドメインを組み合わせている。また、検索エンジンのランキングを操作するために、さまざまな検索エンジン最適化技術が使用されている。

政府

新しいカスタムモジュールバックドア「Stealth Soldier」を活用した、リビアにおける一連の高度な標的型スパイ攻撃を、Check Pointの研究者が観測した。同マルウェアのC2サーバーは、より大規模なインフラストラクチャの一部であり、政府機関に対するスピアフィッシングキャンペーンに使用されていると思われる。また、このインフラは、2019年の「The Eye on the Nile」キャンペーンと重複する部分がある。Stealth Soldierは、ファイルの抜き取り、スクリーンやマイクの記録、キーストロークの記録、ブラウザ情報の盗み出しなどの監視機能を実現するカスタムインプラント。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(09 – 15 June 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ