SophosEncrypt:Sophosの名を騙る新たなランサムウェア・アズ・ア・サービス | Codebook|Security News
Codebook|Security News > Articles > Threat Report > SophosEncrypt:Sophosの名を騙る新たなランサムウェア・アズ・ア・サービス

Threat Report

Silobreaker-WeeklyCyberDigest

SophosEncrypt:Sophosの名を騙る新たなランサムウェア・アズ・ア・サービス

Yoshida

Yoshida

2023.07.21

ウィークリー・サイバーダイジェスト

SophosEncrypt:Sophosの名を騙る新たなランサムウェア・アズ・ア・サービス

Sophosの研究者は最近、同社の名を騙った新しいアクティブなランサムウェア・アズ・ア・サービスを発見した。「SophosEncrypt」と名付けられたこのランサムウェアは、他のランサムウェアにも見られるような典型的な暗号化機能だけでなく、リモートアクセス型トロイの木馬によく見られるような機能も備えている。これには、キーボードドライバーをフックしてキーストロークのロギングを行ったり、WMIコマンドを使用してシステムのプロファイリングを行ったりする機能が含まれる。

ウクライナなど複数国の政府機関を狙った継続的なスピアフィッシングキャンペーン

遅くとも2023年1月から続く、政府機関を標的とした継続的なスピアフィッシングキャンペーンを、EclecticIQの研究者が発見した。脅威アクターはRoundcubeとZimbraのメールサーバーを侵害し、そのアクセスを利用してフィッシングメールを配信していた可能性が高い。標的となった組織のほとんどはウクライナにあるが、スペイン、インドネシア、フランスの特定の政府機関も標的になっていた。

トルコのTikTokユーザー70万人がハッキング被害に 5月の選挙の数週間前

トルコの2023年5月の選挙の数週間前、TikTokは、ハッキングにより攻撃者がユーザーのプライベートな情報にアクセスし、アカウントをコントロールすることが可能となっていたことに気づいた。この攻撃により、トルコの70万件ものアカウントが侵害された。このハッキングの首謀者が何者だったのかはまだ不明。

2023年7月20日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

ノルウェー難民評議会

サイバー攻撃により、プロジェクトの参加者数千人の個人情報を含むオンラインデータベースが影響を受けた。

複数

8Baseランサムウェアが、The Traffic Tech Gulf、Telepizza、Dental One Craigieburn、Quikcard Solutions Inc、Jadranka Group、ANL Packaging、およびBTU SAを自身のリークサイトに追加した。

米国

Mountain View Hospital

権限のない者が一部のシステムにアクセスし、Idaho Falls Community Hospitalおよび提携クリニックにも影響を与えた。(1,043)

オーストラリア

ビクトリア州

同州が、HWL Ebsworthに対するBlackCatランサムウェアによる攻撃の影響を受けた。この攻撃は、データ侵害に繋がっていた。非常に機微な文書および法的なファイルが影響を受けると予想される。

Belize Electricity Ltd

2023年7月14日、Ragnar Lockerランサムウェアグループが、355GBの盗まれたとされるデータをリークした。リークされた情報には、従業員および顧客に関する機密の取引情報、およびその他のネットワークコンフィグレーション情報が含まれる。

英国

ロンドン市長公安室

2022年11月から2023年2月の間、一般市民から送信された情報が公開されたまま放置されていた。漏洩したデータには、メールアドレスおよび個人の詳細情報が含まれる。(400)

米国

Highland Health System

AlphVが、アラバマ州の同地域行動センターを自身のリークサイトに追加した。漏洩したデータには患者の記録、メンタルヘルスに関する記録、社会保障番号、運転免許、および職員のパスワードが含まれるとされる。

米国

Gerber Childrenswear LLC

Akiraランサムウェアが、同子供ファッションブランドを被害者の一員として挙げ、500GBのデータへのアクセス権を保有していると主張した。

米国

複数

TStibbs & Co AttorneysおよびHahn Loeser & Parksが、2023年6月に個人情報に影響を与えるデータ侵害が複数発生したことを開示した。漏洩したデータには氏名、社会保障番号、運転免許およびID番号が含まれる。

米国

Accreditation Commission for Education in Nursing

2023年2月6日から2月27日の間、権限のない者が、同認定機関のマネージドファイル転送サーバーにアクセスした。流出したデータには、氏名および社会保障番号が含まれる。(11,980)

米国

テキサス州オデッサ

同市の元弁護士であるNatasha Brooks氏のメールへの不正アクセスが確認された。これにより、人事関連データなどの機微情報が流出した可能性がある。

米国

Henry Ford Health System

2023年3月30日、ある脅威アクターが、メールフィッシング詐欺を通してビジネスメールアカウントにアクセスした。流出したデータには氏名、性別、生年月日、年齢、検査結果、治療の種類、診断結果などが含まれる。(168,000)

複数

パスワードで保護されていないデータベースに、複数のマッチングアプリや位置情報追跡アプリに関連するレコード2,357,896件が含まれていた。データベースの容量は340GBで、顧客の氏名、アカウント番号、メールアドレス、パスワードなどを含むユーザーのレコードが含まれていた。

米国

Phoenician Medical Center

アリゾナ州の同医療センターの患者情報を含むネットワークサーバーに、権限のない人物がアクセスした。侵害されたデータには、連絡先情報、人口統計情報、州発行の身分証明書、生年月日などが含まれる。(162,500)

米国

ウィスコンシン州ラングレード郡

2023年7月15日、LockBitランサムウェアのオペレーターは、ウィスコンシン州の同郡をリークサイトに追加し、盗まれたすべてのデータを2023年8月1日までに流出させると脅迫した。

インドネシア

内務省人口登録局

2023年7月14日、337,225,465行のデータを含むデータベースがBreachForums上で宣伝された。流出したデータには、氏名、識別番号(NIK)、家族カード番号、生年月日、住所、両親の氏名とNIK、出生証明書または結婚証明書の番号が含まれている。

米国

複数

IMX Medical Management Services、UnitedLex Corporation、Public Health Management Corporationが、消費者のさまざまな機微データに影響を与えるデータ侵害を公表した。侵害された情報には、運転免許証、社会保障番号、保護対象保健情報、金融口座番号などが含まれる。

米軍

米軍は、1文字のタイプミスのために、10年以上にわたってマリ共和国のドメインに「何百万通ものEメール」を流出させた可能性がある。米軍の「[.]mil」で終わるアドレス宛のメールが、代わりに「[.]ml」のアドレスへ誤送信されていた。漏洩した可能性のあるデータには、医療データ、身分証明書、軍事施設の地図、旅行日程表、軍高官の予約情報などが含まれる。

米国

Idea 247

2023年4月26日から5月24日の間に、消費者の機密情報を含むファイルへ権限を持たない者がアクセスした。この情報には、氏名、社会保障番号、生年月日、メールアドレス、電話番号、FICOスコアが含まれる。(37,000)

米国

Chuck E. Cheese

あるハッカーフォーラム上のアクター「GhostyTongue」が、米国の同エンターテインメントチェーンの内部ソフトウェアへのアクセス権を保有していると主張している。同アクターは86.61GBのデータを入手したとされる。

米国

VirusTotal

2023年6月、従業員が意図せず、同社の顧客5,600人のリストを含む313KBのファイルを配布した。流出したデータには、顧客ごとにグループ化された名前とEメールが含まれていた。

フランス

Le Mans Endurance Management

設定ミスのあるGoogle Cloudのバケット2つに110万件のファイルが含まれていたことにより、FIA世界耐久選手権のドライバー数百人のデータが公開状態となった。これにはID、運転免許証、パスポートが含まれる。

米国

Custer County Sheriff’s Office

携帯許可証保持者の情報を保存しているIDカード・プリンターシステム「Salamander System」に関わるデータ侵害が発生した可能性がある。個人を特定できる情報が、同システムを使用している第三者によって閲覧された可能性がある。(856)

米国

LiveAction

2023年7月19日、Snatchランサムウェアのオペレーターが、同社から280GBのデータを盗んだと主張した。

米国

Tampa General Hospital

この病院は、2023年5月31日に発覚した3週間にわたるサイバー攻撃の標的になっていた。同病院はファイルの暗号化を防いだと主張しているが、このインシデントにより、氏名、住所、電話番号、生年月日、社会保障番号などの患者データが侵害された。この病院はこれより前に、4TBのファイルを所有していると主張するSnatch Teamのリークサイトに追加されていた。(~1,200,000)

イラン

Information Technology Organisation of Iran

2023年7月18日、Arvin Clubのハッカーが政府機関からデータを盗んだと主張した。同グループはまた、自身のリークサイト上に、ファイルをダウンロードするためのリンクも掲載した。

米国

エスティ ローダー

同社は、権限のない第三者が特定のデータにアクセスしたサイバーセキュリティインシデントについて公表した。この発表は、ClopとALPHVの両ランサムウェアオペレーターらが同社を攻撃したと主張し、Clopが131GBのデータを盗んだと主張した後に行われている。

英国

Miller & Carter

権限を持たない第三者が、同社とは無関係の情報源からアプリ利用者の個人情報にアクセスした可能性がある。これには、氏名、メールアドレス、電話番号、生年月日、郵便番号が含まれる。

米国

Hankins & Sohn Plastic Surgery Associates

この形成外科医院は2023年2月23日、患者の保護対象保健情報に影響を与えるインシデントを発見した。同院は過去にダークウェブのリークサイトに掲載されており、攻撃者は患者の書類や術前術後の写真を入手したと主張していた。その他にも、氏名、生年月日、電話番号、メールアドレスなどがリークされた。(>10,000)

米国

Gary Motykie MD

正体不明のハッカーが同形成外科医院の患者情報をリークした。リークされたデータには、氏名、機微な個人画像、金融口座、社会保障番号などが含まれていた。

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の脅威アクターを示しています。

政府

ある脅威アクターがウクライナとポーランドの政府機関、軍事組織、民間ユーザーに対して複数のキャンペーンを実施しているのを、Cisco Talosの研究者が発見した。これらの活動は、情報の窃取と永続的なリモートアクセスの獲得を目的としている可能性が高い。これらのキャンペーンは早くも2022年4月から始まっており、最近では2023年7月に実施されている。一方で、CERT-UAが以前観測した7月のキャンペーンは、UNC1151によるものだった。これは、njRAT、AgentTesla、およびCobalt Strikeビーコンを配布するものだった。

銀行・金融

メキシコ国民の銀行口座へ不正にアクセスすることを目的としたフィッシングキャンペーン「Manipulated Caiman」を、Perception Pointの研究者が発見した。このキャンペーンは早くも2021年に開始され、脅威アクターはこれまでに4,000人以上の被害者から5,500万ドル以上を盗み取っている。このアクターは、被害者のコンピューターで構成されるボットネットを使用して、税金をテーマにした悪意あるZIP添付ファイル付きのフィッシングメールを大量に配信する。そして最終的にはcookieのデータと認証情報を盗み出す。

教育

Proofpointの研究者は、2023年3月から6月にかけて、北米の大学生をターゲットにした詐欺的な求人キャンペーンを確認した。誘い文句の多くは、バイオサイエンスと医療関連組織に関するもの。実在の企業になりすました偽のドメインから送信されるメールには、仕事に必要なハードウェアやソフトウェアの要件を記載したPDFの添付ファイルが含まれている。このメールは、サードパーティのプラットフォームでビデオやチャットによる面接を受けるよう受信者を誘うために使用される。アクターはその後、機器購入のための前払い金が必要であることを被害者に伝える。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(14 – 20 July 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ