ナイジェリアの経済金融犯罪委員会(EFCC、Economic and Financial Crimes Commission)は、インターポールのサイバー犯罪対策活動「Operation Killer Bee」の一環としてのおとり捜査により、日本を含む世界的な詐欺キャンペーンに関与していたナイジェリア出身の容疑者3名を逮捕しました。この捜査活動は、攻撃グループと彼らの手口に関する情報を提供したトレンドマイクロの協力のもと、インターポールと各国支局、東南アジア各国の法執行機関によって主導されました。
ランサムウェアを背後で操る新たな犯罪組織「Black Basta」は、企業や組織に対する大規模なデータ侵害を短期間で引き起こしたことから、ここ数週間でその悪名を轟かせることとなりました。
2022年4月20日、「Black Basta」を名乗る人物が、『企業ネットワークへのアクセス権や認証情報を入手して収益化するための策があり、協力者には利益の一部を分配する』といった宣言を「XSS.IS」や「EXPLOIT.IN」などのアンダーグラウンドフォーラム上に投稿しました。さらにこの投稿内容には、米国、カナダ、英国、オーストラリア、ニュージーランド(すべて英語圏の国)に拠点を置く企業や組織を標的としている旨も明記されていました。セキュリティベンダ「Minerva Labs社」は、攻撃者が、流出したデータを提供している一部のダークウェブから認証情報を入手していることを報告しました。
続きを読むトレンドマイクロのManaged XDR(eXtended Detection and Response)を担当するチーム(以下、MDRチーム)は最近、ある顧客を標的とした攻撃事例に対処しました。この事例は、攻撃者による巧妙な検出回避と、複数レイヤーに跨る攻撃を示すものでした。まず、エンドポイントの脆弱性を攻撃し、そこから水平移動・内部活動へと繋げる様子が確認されました。一連の攻撃は、脆弱性「ProxyShell」を突いたクラウドサーバへのWebシェルのインストールから始まり、最終的な侵入手段としてリモートデスクトッププロトコル(Remote Desktop Protocol:RDP)を含む正規リモートアクセス手段を用いた持続的な攻撃に発展しました。
続きを読む情報やデータへのアクセスおよびワークフローの継続性を求めて、ユーザや組織がInternet of Things(IoT)をますます頼りにする中、IoTへの脅威も進化し続けています。サイバー犯罪者は世の中におけるIoTへの依存性に注目しており、現代では家庭とビジネスの両方において、ユーザがこれらのデバイスでファイルの保存やバックアップを行っていることから、ネットワーク接続型ストレージ(NAS)デバイスを攻撃の対象に含めています。さらに重要なことは、これらのツールには貴重な情報が含まれているが、最小限のセキュリティ対策しか講じられていないことをサイバー犯罪者が認識しているという点です。
続きを読むREvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。
REvil(別名:Sodinokibi)は、RaaS(Ransomware as a Service)のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。
それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。
トレンドマイクロでは2021年1年間における国内外での脅威動向について分析を行いました。2021年、多くの企業や組織で急速なデジタルトランスフォーメーション(DX)が進む中、サイバー犯罪者はコロナ禍の状況に便乗し、さまざまな不正活動や攻撃の機会を捉え、新旧さまざまな脅威をもたらしました。
本ブログ記事では2021年にトレンドマイクロが観測したモジュール型ローダ「Buer Loader」に関連する攻撃活動やキャンペーンについて概説します。詳細はトレンドマイクロの技術論文「An Analysis of Buer Loader(英語)」をご参照ください。Buer Loaderは2019年に非常に競争力のある価格でアンダーグラウンドマーケット(闇市場)に参入したことで知られており、マルウェアをサービスとして提供する「Malware as a Service(MaaS)」の一つです。現在Buer Loaderは十分にその地位を確立し、攻撃者によって積極的に利用され続けているように見えます。
続きを読むトレンドマイクロは、ランサムウェア「LockBit」が侵入時に用いるツール群を追跡調査する中で、2021月10月のアンダーグラウンドフォーラム「RAMP」内でアフィリエイト(攻撃を行う実行犯)候補者に向けた「LockBit Linux-ESXi Locker version 1.0(ESXiサーバを標的とするLinux版LockBit 1.0)」の告知を発見しました。これは、「LockBit」ランサムウェアの背後にいるサイバー犯罪者グループ(LockBitグループ)が、攻撃対象をLinuxホストにまで拡大したことを示しています。トレンドマイクロは10月以降、Linux版LockBit 1.0による実際の攻撃活動を観測しています。
続きを読む