Contiが窃取データの販売を開始 / Conti Ransom Gang Starts Selling Access to Victims(転載)


Conti Ransom Gang Starts Selling Access to Victims:

ランサムウェアギャング「Conti」のアフィリエイトプログラムは、最近そのビジネスプランを変更したようです。Contiのマルウェアに感染し、身代金の支払いを拒否した組織は、Contiの被害者を辱めるブログに追加され、被害者から盗んだ機密ファイルを公開したり、販売したりします。しかし、この48時間の間に、サイバー犯罪シンジケートは被害者を辱めるブログを更新し、ハッキングした組織の多くにアクセス権を販売していることを示しました。

"この組織のネットワークにアクセスし、そのネットワークからデータを販売する買い手を探しています。"と、Contiのブログに掲載された最近の複数の被害者リストに挿入された、紛らわしい言葉のメッセージが書かれている。

なぜこのような変更を行ったのか、Contiがこの動きから何を得ようとしているのかは明らかではありません。また、今後、機密データを抽出するためにアクセス権を販売する予定であるならば、なぜ企業にハッキングしたことを宣伝するのかも明らかではありません。Contiはコメントを求められても答えませんでした。

コンピュータ・セキュリティ企業であるEmsisoft社の最高技術責任者であるFabian Wosar氏は、「事業を閉鎖しようとしていて、その前に進行中の侵害からのデータやアクセスを売りたいのではないか」と述べています。「しかし、そのようなやり方をすると、侵害が進行していることを企業に警告することになるので、いささか馬鹿げている。」

米国と欧州の政策立案者たちは、ランサムウェアの上位グループの活動を停止させるための取り組みを進めています。先日、ロイター通信は、米国政府が、ランサムウェアの関連グループであるREvilのコンピュータシステムに侵入するためのハッキング活動を行っていると報じました。REvilは、専門家によると、被害者への対応がContiと同様に攻撃的で冷酷であると言われています。さらに、REvilは、被害者のデータを売り始めた最初のランサムウェアグループのひとつです。

REvilのダークネットの被害者を辱めるサイトはオフラインのままだ。これに対し、Contiの代表者は10月22日、ロシア語のハッキングフォーラムに、REvilへの攻撃を「世界情勢における米国の一方的な、治外法権的な、盗賊まがいの行動」と非難する長文の文章を投稿した。

「このような無差別な攻撃行為を合法化する法律が、たとえアメリカ国内であっても、50州のどこかの郡であってもあるのだろうか」というのが、Contiの日記の内容です。「サーバーのハッキングは、アメリカでも、アメリカのどの管轄区域でも、突然合法になるのか?仮に、外国のサーバーをハッキングできるようなとんでもない法律があったとしましょう。サーバーを攻撃された国から見て、どの程度合法なのでしょうか?インフラは、宇宙に飛んでいるわけでも、中立国の海に浮かんでいるわけでもありません。それは誰かの主権の一部なのです。」

Contiの新しい方向性は、被害企業を交渉のテーブルに着かせるための策略に過ぎないかもしれない。

あるいは、ロシア語からの翻訳で何かが失われたのかもしれない(Contiのブログは英語で公開されている)。しかし、ランサムウェアの配布から、盗まれたデータやネットワークアクセスの販売へと移行することで、Contiは、最近、盗まれたデータを公開したり販売したりしないという約束と引き換えに企業を恐喝することに重点を置いている、多くの競合するランサムウェアのアフィリエイトプログラムと事業を一致させている可能性があります。

しかし、Digital Shadows社が最近のランサムウェアのまとめで指摘しているように、多くのランサムウェアグループは、データ漏洩サイトの管理や、盗んだデータをダークウェブ上でダウンロードできるようにホスティングすることが困難になっています。

結局のところ、1社の窃取データをTor経由でダウンロードするのに何週間もかかるとなると、たとえダウンロードが成功したとしても、交渉戦術として機密データを流出させるという脅威は、その威嚇性を失うことになります。また、ユーザーにとっても不都合なことです。その結果、一部のランサムウェアグループは、公共のファイル共有サイトを利用してデータを公開することになりました。公共のファイル共有サイトは、より高速で信頼性が高いものの、法的手段ですぐに削除されてしまいます。

また、データリークサイトは、ランサムウェアギャングに潜入するための潜在的な手段でもあります。最近、米国当局によるREvilギャングの侵害が報告されたことからも明らかです。

Digital ShadowsのIvan Righi氏は、「2021年10月17日、ランサムウェア「REvil」の代表者が、ロシア語圏の犯罪フォーラムで、彼らのデータ漏洩サイトが「ハイジャック」されたことを明らかにした」と書いています。REvilのメンバーは、未知の個人が、開発者が所有する同じ鍵を使って、REvilのウェブサイトのランディングページとブログの隠されたサービスにアクセスしたと説明した。そのユーザーは、ランサムウェア・ギャングのサーバーが侵害され、その責任者である個人が自分を「探している」と考えていた。

Mandiant社の最近のレポートによると、ContiとRyukランサムウェアの両方を実行したとされるグループであるFIN12は、データ流出を伴う攻撃では12日以上かかるのに対し、ランサムウェア攻撃を3日以内に行うことができたとのことです。

この数字を見ると、Contiは、データ流出に関する業務をより多く(もちろん有料で)外部に委託することで、時間はかからないが同じように収益性の高いランサムウェアの展開に注力しようとしているだけなのかもしれません。

「第4四半期が近づくにつれ、データ漏洩サイトの管理に関する問題が、新たなランサムウェアグループがデータ漏洩サイトを利用することを躊躇させるのか、それともこれらの問題を回避するためにどのような創造的なソリューションを生み出すのかが注目されます」とRighiは締めくくりました。「Ryukは、データ漏洩サイトを利用しなくても、ランサムウェアの脅威の中で効果的かつトッププレイヤーであり続けることを証明しています。実際、Ryukはデータ漏洩サイトやデータ流出を必要としないことで成功しています。」

タピオカ通販サイト、流出クレカ情報が不正利用された可能性(転載)


タピオカ通販サイト、流出クレカ情報が不正利用された可能性:

「タピオカ」を扱う通信販売サイト「タピオカワールド」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかとなった。

同サイトを運営するネットタワーによれば、同サイトに対して脆弱性を突く不正アクセスがあり、クレジットカードの名義や番号、有効期限、セキュリティコードを窃取するよう決済アプリケーションが改ざんされたという。

2020年2月14日から2021年3月29日にかけて同サイトで商品を購入した顧客226人が利用したクレジットカード情報301件が外部に流出し、不正に利用された可能性がある。2021年4月9日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。

外部事業者による調査は2021年8月28日に完了し、個人情報保護委員会には同月31日に報告。警察には9月1日に被害を申告した。

対象となる顧客に対しては、2021年10月25日よりメールで連絡を取り、事情を説明するとともに謝罪し、身に覚えのない請求が行われていないか確認するよう呼びかけている。

同社では、不正アクセスを受けたサイトについて2021年3月29日に閉鎖。あらたなサーバ上に新サイトを構築し、2021年4月5日より再開済みだという。

プレスリリースバックアップ

観測されたマルウェア検体を情報共有用途で一般公開しているデータベース【Malware Bazaar】


 観測されたマルウェア検体を分析者に投稿してもらい、 アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。 これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。 そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。

https://bazaar.abuse.ch/

オリンパス、2度目のランサムウェア攻撃で、米国などのシステムが暗号化される / Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密(転載)


Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密:

日本の大手ハイテク企業であるオリンパスに対する「進行中」のサイバー攻撃は、米国政府の制裁を受けているロシアの悪意あるグループが仕掛けたものであると、攻撃について知る2人の人物が語っています。 

「Macaw」は、マルウェア「WastedLocker」の新しい亜種で、どちらも2019年に米財務省から制裁を受けたロシアを拠点とする犯罪シンジケート「Evil Corp」が作成したものです。

これは、2021年9月にヨーロッパ、中東、アフリカのネットワークがBlackMatterランサムウェアに攻撃されたのに続き、この数ヶ月で2度目のランサムウェア攻撃です。 (BlackMatterはEvil Corp.との関係を知られていない)

セキュリティ企業Recorded Futureのシニア脅威アナリストであるAllan Liska氏は、「Olympusは2021年9月にBlackMatterに攻撃され、2021年10月にMacawに攻撃されました。Macawマルウェアは、ハッキングされたコンピュータに身代金請求書を残していました」とコメントしています。

オリンパスは声明で、「データ侵害の可能性」を調査していると述べました。「ダブルランサム」と呼ばれるランサムウェア・グループがよく使う手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、それを脅すというものです。 解読されたファイルの身代金が支払われない場合は、ファイルがオンラインで公開されます。

オープンソースの脅威情報蓄積プラットフォーム【Open CTI】


Open CTI 自体はオープンソースの脅威情報蓄積プラットフォームで、 インターネットに接続すると他の分析者が蓄積したインテリジェンスを閲覧することができます。


Open CTI は docker image から build して内部にプラットフォームを建てる形で利用することになるのですが、 ThreatPursuit VM を利用している人は docker-compose コマンドを叩くだけで建つのですぐに利用できます。 情報の網羅性としては高いわけではなく MISP のような他イベントとの関連性の面は弱い一方、 APT の活動やばらまき型メール, マルウェア解析情報といった有力な情報も流れてくるので、1日1回 Activities をざっと眺めるだけでも損はないです。 以下のURLからデモ版を見ることができるので、興味がある人は是非クリックしてみてください!!

https://demo.opencti.io/dashboard

Hunting用のマルウェアデータセットを提供してくれる【mquery】


インテリジェンス業務を行っていると、自社に着弾したマルウェアと同種のものを捕まえて解析し、 攻撃の分析に役立てようとする営みをすることがあると思います。 これを Threat Hunting と言います。 では、インテリジェンス分析者はどうやって「同種のもの」を捕まえてきているかというと、 最も多くの場合「Yara rule」と呼ばれるシグネチャマッチングで行っています。 つまり、同種のものを捕まえられるようなルールを書き、大量のデータセットに対して検索することで捕まえてくるというわけです。 また、Yara rule で検体を Hunting できた場合は自組織の EDR やネットワークフォレンジック装置にルールを組み込むことで、 より高度で効果的な防御をすることができます。

では、Hunting 対象のデータセットはどこにあるでしょうか? もっとも有名なのは Virus Total というオンラインのウイルススキャンサービスですが、 Hunting の機能は少々高額で初心者がいきなりこれを試すことはハードルが高いです。 そこで役立つのが、CERT.PL が提供している mquery というサービスです。 mquery はマルウェアのデータセットを提供しており、Yara rule を提出するとルールにマッチしたマルウェアの検体を提供してくれます。 マルウェアのデータセットも 76,000 近くあるため、試しに Hunting するには十分です。 

これの強みは、オンラインサンドボックスでできないようなシグネチャマッチングによる検索を、擬似的に mquery が代用してくれているという点です。 mquery を使ってシグネチャマッチした検体のハッシュ値がわかれば、 他のオンラインサンドボックスやインテリジェンスサービスに投稿された検体に到達することができ、非常に有用です。 また、mquery と同じくYara ruleでHuntingできるサービスとして、CrowdStrike が提供してくれている Hybrid Analysis というオンラインサンドボックスがあります。こちらでもHunting, ルール検証ができるので、良性・悪性入り混じったサンプルでのルール検証がしたい場合などは有効活用できると思います。

米Miles日本上陸へ 徒歩でも電車でも“マイル”がたまる(転載)~貯まった”マイル”が航空会社のマイレージに変換できるかが個人的なポイント~


飛行機だけではなく、徒歩や自転車、自動車、電車などの移動手段を自動判別し、“マイル”を付与するアプリ「Miles(マイルズ)」。運営する米コネクトIQラボは2021年8月、海外初進出となる日本でティザーサイトをオープンした。

18年から米国で展開されている「Miles(マイルズ)」アプリは、100万人以上の登録ユーザーを獲得してきた。“マイル”と交換する特典(リワード)を提供するパートナー企業は、ウォルマートやスターバックス、アマゾン・ドット・コム、フードデリバリーのドアダッシュなど、実に200以上の有名ブランドがそろう。

これまでMilesのユーザーは累計40億マイル(約64億キロメートル)を移動し、120億マイルを獲得。そのうち35億マイルが700万件以上のリワードと交換された。「ユーザーは5000万ドル(約55億円)以上の節約に役立っており、リワードを提供するパートナー企業には2億ドル(約220億円)以上の収益をもたらしている」という。こうしたユーザーの移動を軸として巨大な経済効果を生む有力プラットフォームが、ついに本格上陸する。

Milesのユーザーメリットは実に明快だ。スマホにアプリをダウンロードし、常時GPSの取得を許可する設定にしておけば、ユーザーの移動手段をAI(人工知能)が自動で判別し、それぞれに応じた“マイル”が勝手にたまっていく。マイルが一定数たまると、映画やレンタカーの割引チケット、コーヒーショップの無料チケット、ネット通販のギフトカードなど、用意されたリワードへの交換が可能となる。

【2021/10/23追記】
全ての移動でマイル加算する「Miles」日本上陸、交換特典にJALなど参画

インターネット上に存在するあらゆる端末をスキャンしているサービス【GreyNoise】


 インターネット上に存在するあらゆる端末をスキャンしているサービスとして Shodan や Censys が非常に有名だと思いますが、 GreyNoise もそんなサービスの一つです。 ただし、用途は微妙に異なり、「サービスのどこに穴があるか」といったどちらかというと攻撃者目線で使う Shodan とは違い、 GreyNoise は「どこの IP から攻撃が飛んできているか」という防御者目線で使うことが多いです。 簡単な例をあげると、「SMBGhost のスキャンをしてくる IP を教えろ」とクエリ書くだけで、 その結果と Malicious かどうかの判定まで出してくれます。


Malicious 判定のついた IP を自動で収集してきて、 もし通信をしていた場合はアラートをあげさせることでインテリジェンスになったりします。 また、「自社関連で誰かマルウェア感染していないか?」というのも簡単ながら調査できます。 例えば、ntt というワードで検索すると、自社の提供する ISP 配下で、明らかに Mirai に感染して bot 化されたような端末が見つかります。