Akiraランサムウェアグループ、日量で前例のない数の被害者データを新たにリーク

nosa

2025.11.05

11月19日：サイバーセキュリティ関連ニュース

Akiraランサムウェアグループ、日量で前例のない数の被害者データを新たにリーク

The Record – November 19th, 2024

ランサムウェア・アズ・ア・サービスとしてサイバー犯罪の世界で存在感を高めるAkiraランサムウェアグループが、新たな被害者データをダークネット上のリークサイトに公開した。18日には日量として前例のない35組の被害者が追加されており、その数は今後もさらに増えることが予想されている。

日本のサイバーパンク漫画にちなんで名付けられたこのグループのリークサイトは、新しい被害者を脅迫する「ニュース」セクションと、脅迫が失敗した場合にデータを公開する「リーク」セクションがある。後者で18日に公開された被害者のうち、32組はまったく新しい組織で、残り3組は以前からニュースセクションに名前が載っていたようだ。新たな被害者の大半はビジネスサービス部門の企業で、米国を中心にカナダ、ドイツ、英国など複数国の事業体が名を連ねているという。

サイバーセキュリティ企業Cyberintの研究者Adi Bleih氏が調べたところ、Akiraが8月〜10月に公開したデータは通常より少なかったことが判明しているが、同氏は今回の大量公開の背景について、この手口で脅迫する新しいアフィリエイトが増えたからなのか、あるいはAkiraの運営者が過去のリークを控えていたからなのかなど、いくつか考えられると指摘した。

WhiteSnakeおよびMeduzaスティーラーを配布する新たなステルス型マルウェア「BabbleLoader」が発見される

The Hacker News – Nov 18, 2024

イスラエル企業Intezerのセキュリティ研究者は17日に公開されたレポートで、新たなステルス型マルウェア「BabbleLoader」について警告。このローダーが「WhiteSnake」や「Meduza」といった情報窃取型マルウェアファミリーを配布していることを観測したと記した。

このローダーは「極めて検知回避力が高く、防御メカニズムを備えていて、アンチウイルスやサンドボックス環境を迂回してメモリにスティーラーマルウェアを配布するよう設計されている」とのこと。英語とロシア語を話す個人を狙った複数のキャンペーンで使われた証拠も見つかっているという。主なターゲットは一般的なクラック版ソフトウェアを探しているユーザー、または財務および管理担当のビジネスプロフェッショナルで、会計ソフトウェアに見せかけて配布されているようだ。

ローダーは近年、スティーラーやランサムウェアといったマルウェアを配布する手段として広く普及しており、従来のアンチウイルスによる防御をすり抜ける能力があることから、攻撃チェーンの第一段階で使われることが多い。

Citrix Virtual Apps and Desktopsに影響与える重大な脆弱性、悪用の試み始まる：CVE-2024-8068、CVE-2024-8069

Securityonline[.]info – November 18, 2024

Citrix社のVirtual Apps and Desktopsに影響を与える脆弱性CVE-2024-8068およびCVE-2024-8069に対する悪用の試みが始まっているという。SANS Instituteの研究部長であるJohannes B. Ullrich博士が報告した。

両者はいずれもCitrix Session Recordingにおける脆弱性で、CVE-2024-8068はNetworkService アカウントへの権限昇格、CVE-2024-8069はNetworkService アカウントアクセスの権限による限定的なリモートコード実行をそれぞれ可能にし得ると説明されている。先週開示され、Citrixがセキュリティブレティンをリリースしているほか、watchTowrによって技術的詳細とPoCエクスプロイトが共有されている。

Ullrich博士の分析によると、攻撃者はこれらの脆弱性を悪用して悪性ペイロードを実行しようとしていたものとみられ、そのC2サーバーは南アフリカのヨハネスブルクに位置している可能性があるという。また脅威モニタリングサービスのShadowserverも11月13日のX投稿において、PoCをベースにした悪用の試みが観測された旨を伝えていた。利用者には、早急なバージョンアップデートが推奨されている。