MGMリゾーツへの攻撃、実行者はALPHV / BlackCatランサムウェアグループか | Codebook|Security News
Codebook|Security News > Articles > Threat Report > MGMリゾーツへの攻撃、実行者はALPHV / BlackCatランサムウェアグループか

Threat Report

Silobreaker-WeeklyCyberDigest

MGMリゾーツへの攻撃、実行者はALPHV / BlackCatランサムウェアグループか

Yoshida

Yoshida

2023.09.15

ウィークリー・サイバーダイジェスト

MGMリゾーツへの攻撃、実行者はALPHV / BlackCatランサムウェアグループか

同ホスピタリティ企業は、複数のサービスに影響を及ぼしているサイバーセキュリティ上の問題に対処しているところだと述べた。vx-undergoundの研究者はその後、ALPHVランサムウェアグループが攻撃に関与していると判断した。

[Update]ALPHV / BlackCatランサムウェアグループは14日に声明を出し、自身が金曜日以降にMGMのインフラを侵害して100を超えるESXiハイパーバイザーを暗号化したと主張している。同グループはまた、今もMGMのインフラの一部へのアクセスを維持できていると述べ、身代金支払いに関する合意がなされない場合、新たな攻撃を仕掛けると脅迫しているとのこと。(情報源:BleepingComputer “MGM Resorts ESXi servers allegedly encrypted in ransomware attack”)

シーザーズ・エンターテインメントがハッカーに身代金を支払ったとの報道

シーザーズは、同社のシステムに侵入し、盗んだデータを公開すると脅してきたハッカーに対して3,000万ドルを支払ったと報じられている。報道によれば攻撃はScattered Spiderによって行われ、2023年8月27日頃に始まっていたとのこと。

セーブ・ザ・チルドレンがBianLianランサムウェアの標的に

BianLianランサムウェアのオペレーターが、同組織から国際的な人事ファイル、個人データ、財務記録、Eメールメッセージ、医療・保健データを含む6.8TB分のデータを盗んだと主張した。

 

2023年9月14日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

ウェルズ・ファーゴ(米国)

Anonymous Sudanが同社を標的にし、自身のダークウェブチャンネル上に漏洩したとされるデータの証拠を投稿したと主張している。これらの主張はまだ検証されていない。

Bienville Orthopaedic Specialists(米国)

権限のない者が同社のITネットワークにアクセスし、特定の情報を盗むことができた。漏洩した情報には、氏名、社会保障番号、医療情報、健康保険情報、ユーザー名とパスワード、金融口座情報、運転免許証番号が含まれる。(240,000)

St Augustine Academy(英国)

2023年9月6日、同校がランサムウェア攻撃の標的となり、学校のシステムやデータが暗号化された。

Defence Housing Australia

同政府事業体は、サイバー攻撃によって引き起こされたサードパーティにおけるデータ侵害の影響を受けた。オーストラリア退役軍人省もこの侵害に関する通知を発表した。影響を受けたサードパーティの名前はまだ明かされていない。

Dymocks(オーストラリア)

権限のない者が特定の顧客レコードにアクセスし、後にそれがダークウェブ上にリークされた。漏洩した情報は住所、生年月日、メールアドレス、携帯電話番号、性別、会員情報。

Biostar(台湾)

ハクティビストグループFive Familiesが、同メーカーの顧客および従業員の機微なデータを盗んだと主張している。

Linktera(トルコ)

ハッカーグループRansomed VCが同社を自身のリークサイトに追加し、同社のデータベースに不正アクセスしたと主張した。

コカコーラ・フェムサ(メキシコ)

脅威アクターTheSnakeが、機密の写真やファイルを含む8.16GBの企業データを所持していると主張している。同社は過去にAlphVのリークサイトに追加されていたが、データセットが同じものかは依然として不明。

Lifeline Health Systems(米国)

同社は、2022年7月27日〜8月6日の間に不正アクセスを受けた。漏洩した可能性のあるデータには、氏名、生年月日、健康保険情報、病状、パスポート番号などが含まれ、場合によっては社会保障番号も含まれる。(75,000)

Singing River Health System(米国)

2023年8月19日、Rhysidaランサムウェアグループが、同医療組織をリークサイトに追加した。この攻撃によりPascagoula Hospital、Ocean Springs Hospital、Gulfport Hospital、および複数の診療所が影響を受けた。

AP通信(米国)

2023年7月16日から7月22日にかけて、古いサードパーティが管理するAPスタイルブックのサイトがハッキングされた。その結果、顧客の名前、メールアドレス、住所、電話番号、社会保障番号などが盗まれた。盗まれたデータは後に、クレジットカード情報を更新する必要があると謳うフィッシングメールに使用された。(224)

スリランカ

「gov[.]lk」ドメインを使用しているスリランカの全政府機関が、ランサムウェア攻撃を受け、2023年5月17日〜8月26日までのデータを失った。同インシデントにより、最大5,000件のメールアドレスが影響を受けた可能性があり、オフラインのバックアップは利用できない。

複数

2023年9月5日、CactusランサムウェアグループがLagarde Meregnani、Barsco、Foroni SPA、Hornsyld Købmandsgaardを自身のリークサイトに追加した。

Minnesota Department of Employment and Economic Development / DEED(米国)

同局で発生したセキュリティインシデントにより、求職者の個人情報が流出した可能性がある。これには自宅住所、電話番号、およびメールアドレスが含まれる。

Sutter North Surgery Center(米国)

2022年2月9日、ベンダーのSightpath Medical LLCで、個人情報への不正アクセスを伴う異常なネットワークアクティビティが発生した。(861)

Avera Health(米国)

2023年3月27日〜4月24日の間に、ベンダーであるDMS Health Technologiesへの不正アクセスが発生した。漏洩した可能性のある情報は、氏名、生年月日、診療日、医師名、および検査の種類。(1,500)

Skokie-Morton Grove School District(米国)

LockBitランサムウェアが同学区を自身のリークサイトに追加したが、自身の主張に関する証拠は提供しなかった。

Lyon Real Estate(米国)

2023年4月18日〜5月4日の間に、権限のない者がベンダーのアプリケーションプログラムにおける脆弱性を利用して同社のコンピュータネットワークにアクセスした。これにより、攻撃者は特定の機密情報にアクセスできるようになった。

クワントレン工科大学(カナダ)

同大学のプロバイダーの1つであるGallivanで発生したデータ侵害により、学生ID、氏名、生年月日が流出した。

Emmi Roth USA

権限のないサードパーティがサイバー攻撃で、同社の情報技術環境にアクセスした。これにより、関連会社や子会社を含む現従業員および元従業員の機微な個人データが流出した。

Wein & Co(オーストリア)

同社に対するハッキング攻撃により、Webショップを利用した顧客の氏名、住所、生年月日、電話番号が侵害された。

COVESA(スペイン)

8Baseランサムウェアグループが、フォードのスペインのディーラーをリークサイトに追加した。同アクターは請求書、領収書、会計記録、個人データなどを含む機微情報にアクセスしたと主張している。

Academy of Medicine, Singapore / AMS

LockBitランサムウェアが、同アカデミーに関連する医師らの個人情報を公開した。この13.69GBのデータベースには、NRIC番号、自宅住所、ログイン認証情報、携帯番号などが含まれている。(50)

ハインズ郡(米国)

同郡がランサムウェアの攻撃を受けた。この攻撃により、職員らが自身のコンピューターにアクセスできなくなり、複数の行政機関が営業を終了せざるを得なくなった。

Psych Associates of Maryland(米国)

2023年6月23日前後に、特定の機微情報が不正アクセスの標的となった。これにより氏名、住所、電話番号、メールアドレスなどを含む患者の個人情報が流出した可能性がある。

Canadian Nurses Association / CNA

Snatchグループは、同協会から盗まれたとされる37GBのデータをリークした。この攻撃は過去に、SnatchとNokoyawaの両方のランサムウェアによって犯行声明が出されていた。

Hotiç Ayakkabı(トルコ)

2023年6月6日、同社はあるアカウントへの不正アクセスを受けた。これにより顧客の携帯電話番号が流出し、その後フィッシング攻撃に利用された。(1,926,889)

St. Paul Public Schools / SPPS(米国)

2023年2月に特定のデータへの不正アクセスが発生。漏洩した生徒の情報には、氏名やメールアドレスが含まれる。

エアバス(フランス)

BreachForums上で「USDoD」として活動している脅威アクターが、ターキッシュエアラインズの従業員のアカウントを侵害した後、エアバスのWebポータルへのアクセス情報を入手したと主張している。同ハッカーは名前、住所、電話番号、メールを含むエアバスのベンダー3,200社に関する詳細情報を所有していると主張している。エアバスは、ハッカーが顧客に関連するITアカウントを侵害したことを確認した。

不明

Telegramの非公開チャンネル上で、自動車メーカーの顧客アカウント約15,000件が販売されているのが発見された。ハッカーは自動アカウント乗っ取りの技術を使い、およそ数千台の個々の自動車に関する情報を収集した模様。これには車のメーカー、モデル、登録ユーザー、住所、および車両識別番号が含まれる。

Pharm-Pacc Corp(米国)

2023年3月24日、特定のデータへの不正アクセスが確認された。これには氏名、生年月日、アカウント番号、住所、電話番号、メールアドレスなど、患者の個人情報や保護対象保健情報が含まれる。

フィリピンのオンブズマン事務所

少なくとも3人の人物が行政事件や汚職事件に関する政府関係者に対する訴訟情報にアクセスした。これらにはまだ公表されていない進行中の事例も含まれる。

International Joint Commission(米国およびカナダ)

NoEscapeランサムウェアは、同二国間組織をリークサイトに追加し、80GBのデータを盗んだと主張した。これには機密文書や法的文書、および従業員の個人情報が含まれているとされる。

Tamil Nadu Police(インド)

犯罪・犯罪追跡ネットワーク・システム(CCTNS)のWebサイトが、韓国で活動する攻撃者によってハッキングされたと報じられている。同アクターは、顔認識システムのデータベースや警察の給与に関する情報を含む、特定のデータにアクセスすることに成功した。

Texas Medical Liability Trust(米国)

2023年10月2日〜10月13日の間に、権限のない外部のアクターが同医療機関のデータにアクセスし、データを取得できた。これには氏名、社会保障番号、運転免許証番号、金融口座情報などが含まれる可能性がある。(59,901)

ペンシルベニア州バトラー郡(米国)

同郡の刑事施設と関連がある職員のメールアカウントが不正アクセスを受けた。このアカウントの内容は攻撃者によってコピーされ、個人を特定できる情報が一部影響を受けた。

Rollbar(米国)

2023年8月9日から8月11日にかけて、ハッカーが同社のシステムに侵入し、顧客のアクセストークンにアクセスした。漏洩した可能性のある情報には、ユーザー名やメールアドレス、アカウント名、プロジェクト情報が含まれる。

ノースベイ市(カナダ)

権限のないアクターがフィッシング攻撃を用いて特定の売掛金データにアクセスした。これにより個人の個人情報が流出したが、その情報は氏名と未決済残高に限られていたと報告されている。(〜300)

CrelioHealth(インド)

アラブ首長国連邦のNational Reference Laboratoryに関連するデータを含む、2,800万件以上の研究所レコードを含むElasticSearchクラスタが流出した。流出したデータには、氏名、パスポートまたはID番号、国籍、生年月日、メールアドレス、携帯電話番号などが含まれる。

銀行・金融に関連して言及されたモバイルマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のモバイルマルウェアを示しています。

ホスピタリティ

Resort Data Processing Inc.のオンライン予約エンジンIRM Next Generation (IRM-NG)に影響を与える、複数の脆弱性をBitdefenderの研究者が発見した。これらの脆弱性は、米国の名称不明のリゾートに対する攻撃に使用された。この攻撃は2022年半ばに行われたもので、カスタムツールとマルウェアが展開され、金銭的利益と個人情報の窃取のために利用された。ホスピタリティ部門の他の企業でも侵害が確認されており、攻撃はより大規模で組織的な取り組みの一部であったと考えられている。

重要インフラ

トロイの木馬ShadowPadを使用して、アジアの国家の送電網を侵害するRedflyの脅威アクターをシマンテックの研究者が観測した。2023年2月に始まったこの侵害は6ヶ月にも及び、重要な国家インフラを標的とした一連のスパイ侵入活動の中では最新のものである。この攻撃では、C2関連の目的で特定のドメインを利用する独特なShadowPadの亜種が使用された。さらに、シェルコードをロードして実行するために使用されるPackerloaderと名付けられた64ビットのDLLも使用された。

政府

パキスタンを拠点とする脅威アクターAPT36が、ElizaRATと名付けられたこれまで文書化されていなかったWindowsリモートアクセス型トロイの木馬(RAT)を用いて、インドの政府部門を標的にしているのをZscalerの研究者が観測した。さらにこの攻撃では、Linuxに対する新たなサイバースパイ活動、新たな配布メカニズム、そしてLinux環境に対して使用される新たな攻撃ベクターが実行された。これには、Linuxデスクトップのエントリファイルや新しいPythonベースのELFバイナリの使用が含まれる。

銀行・金融

クレジットカードや認証情報を盗む目的で、オーストラリアの税務署を含むさまざまな金融機関や政府機関になりすました複数のスミッシングキャンペーンが行われているのを、Silent Pushの研究者が発見した。この活動は、米国の国法銀行や地方銀行の認証情報を収集するために米国のユーザーを標的としている同じ脅威グループによるものだった。

医療

米保健医療サイバーセキュリティ調整センターは、医療部門に対し、ランサムウェアグループAkiraに関する脅威アラートを発出した。Akiraは2023年3月に活動を開始し、これまでに60人以上の被害者を主張している。Avastの研究者は2023年6月にランサムウェアの復号ツールをリリースしたが、Akiraは悪質な活動を継続している模様。Akiraは初期アクセスのために漏洩した認証情報や仮想プライベートネットワークの弱点を悪用するといった、さまざまな方法を活用している。その他に観測された手法には、フィッシングメール、有害なWebサイト、ドライブバイダウンロード攻撃、およびトロイの木馬がある。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(8 – 14 September 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ