RansomHubとは?Knightランサムウェアの「リブート版」か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > RansomHubとは?Knightランサムウェアの「リブート版」か

Threat Report

Cisco

Gobfuscate

Knight

RansomHubとは?Knightランサムウェアの「リブート版」か

Yoshida

Yoshida

2024.06.06

6月6日:サイバーセキュリティ関連ニュース

RansomHubとは?Knightランサムウェアの「リブート版」か

The Register – 5 Jun 2024

脅威ハンターによると、比較的新しいサイバー犯罪組織「RansomHub」は、Knightランサムウェアグループがある種の「リブランド」を遂げて生まれたグループである可能性が高いという。2月に登場したRansomHubはそれ以降非常に盛んに活動しており、フロンティア・コミュニケーションズやChange Healthcareへの恐喝攻撃(※)は大きな注目を集めた。最近では、オークションハウスのクリスティーズから顧客データを盗み出し、情報をオークションにかけたと主張するなど、ブラックユーモアのようなものも見せている。

Change Healthcare(UnitedHealth)への恐喝について、詳しくはこちらの記事で:UnitedHealth、ランサムウェアグループに身代金支払ったと認める

RansomHubとKnightが使うそれぞれのマルウェアのコードはどちらもGoで書かれており、互いにとてもよく似ているのだという。またほとんどの亜種がGobfuscateを使って痕跡を消すという点も、両ランサムウェアで共通している。さらにシマンテックによると、身代金要求メモに同じフレーズがあることから、RansomHubの開発者はただKnightのメモを編集・更新しただけであることがうかがえるとのこと。

Knightは自身の活動を停止し、リークサイトを閉鎖した後にコードを売却したとみられる。シマンテックによれば、Knightの運営者が現在RansomHubを運営しているとは「考えにくい」ものの、誰かが独自のRaaSを立ち上げる前に同ソースコードを購入して改良を加えた可能性は高いという。

Knightランサムウェアの関連記事:KnightランサムウェアがTripadvisor装う偽の苦情メールによって配布される

シスコ、ドイツ政府会議への不正侵入に使われたWebexの欠陥を修正

Security Affairs – June 05, 2024

シスコが、ドイツ政府の内部会議への不正侵入に使われたCisco Webex Meetingsの脆弱性に対処した。同社はアドバイザリの中で、「標的を絞ったセキュリティ調査活動」にこの欠陥が利用されたと考えている旨を明かしている。この活動により、特定の顧客のWebexデプロイメントにおける会議情報やメタデータへの不正アクセスが可能になったのだという。

関連記事:ドイツ軍、Webexでのビデオ会議をロシア工作員にリークされる

専門家らは、脅威アクターが安全でない直接オブジェクト参照(IDOR)の脆弱性を悪用して、ドイツ政府機関内部のWebexミーティングにアクセスしたと考えており、高官の会議室の一部がパスワードで保護されていないことも発見した。ドイツ政府はオンプレミス版のWebexを使用していたにもかかわらず、アクターはトピックや参加者といった会議に関する情報にアクセスし、機微性の高い会議を偵察していたとのこと。

シスコは、上記のような情報への不正アクセスの試みが確認できた顧客に対して通知を行った。また同脆弱性に対処してから、ほかに悪用が試みられている事例は確認していないとしつつも、調査はまだ継続中であること、そして監視を続け、必要に応じて最新情報を提供することを述べている。

関連記事

Threat Report

Threat Report

Cisco

Gobfuscate

Knight

不信、復号ツール、活動停止 – ランサムウェアエコシステムの最新動向を評価

Yoshida

Yoshida

2024.06.06

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ