サイバー脅威に関するAcronis CPOCの最新情報: 2021年6月7日の週

Cyberthreat update from Acronis CPOCs: Week of June 7, 2021

アクロニスでは常に、お客様のデータに対する危険を監視し、新たに発見された脆弱性への修正プログラムを適用し、お客様が安全でいられるように、警告や推奨事項を発しています。私たちのグローバルネットワークであるアクロニス サイバープロテクション オペレーションセンター(CPOC)は、最新のサイバー脅威をプロアクティブに検知し、それらを防ぐために、24時間体制で監視をしています。

この取り組みの一環として、米国のインフラに対するランサムウェア攻撃や新たに発生した脅威など、デジタル環境における最新の脅威情報を動画でお知らせする活動を行っています。最新のニュース速報と分析の一部を以下でご紹介します。

Steamship Authority社、ランサムウェアの嵐に巻き込まれる

マサチューセッツ州最大のフェリーサービスであるThe Steamship Authorityがランサムウェア攻撃を受けました。これは、最近のコロニアル・パイプラインへの攻撃により数日間にわたって通常の操業を停止したことなどを含め、米国のインフラに対する他の攻撃に続いて発生しました。.

Steamship Authorityは、マサチューセッツ州本土とマーサズ・ヴィンヤード島およびナンタケット島を結ぶすべてのフェリーの規制機関です。現時点では、要求された身代金の金額や盗まれたデータ量、Steamship Authorityがこの攻撃からどのように復旧させる予定かなど、詳細は不明です。

Acronis Cyber Protectは、ランサムウェアの種類や背後にいる組織に関わらず、マシンインテリジェンス(MI)を活用した脅威にとらわれない振る舞い分析エンジンを使用してマルウェアを検知・ブロックし、データの安全性と事業継続性を確保します。

これはあなたが探している身代金ではありません

2019年に米国の制裁を受けた後、Evil Corpとして知られるランサムウェアギャングは、被害者が再び交渉できるように、いくつかの「軽いリブランド」でその活動を隠そうとしました。Evil Corpは、ガーミン社、Forward Air社、保険大手CNA社などの大企業を攻撃し、1億ドル以上の損害賠償と身代金を請求しています。

最近では、PayloadBINという新種のマルウェアを使用したサイバー攻撃が、引退を表明していたランサムウェアギャングであるBabukによるものだとする研究者もいます。Babukは単に、引退を偽装しただけだと考えられていました。しかし、分析の結果、これらの攻撃の背後にいるのは、実はEvil Corpであることが明らかになりました。

PayloadBINとEvil Corpの秘密の関係が明らかになったことは、サイバー脅威の状況を理解する上で重要な一歩であると同時に、企業がPayloadBIN攻撃に対するデータ復旧について、交渉できないことも立証されました。Acronis Cyber Protectには、高度な振る舞い検知を使用して、データを暗号化したり、盗み出したりする前に、既知および未知のランサムウェアを阻止します。

6月のパッチチューズデーで修正された7つのゼロデイバグ

マイクロソフト社のパッチチューズデーでは今月、50のアップデートが公開されました。その中には7つのゼロデイ脆弱性の修正も含まれており、そのうちの6つは実際に悪用されていることが確認されています。

悪用された脆弱性のうち、4つは特権の昇格を許可、1つは情報漏洩、もう1つはリモートでコード実行が許可されるというものでした。また、攻撃を受けていないゼロデイ脆弱性では、Windowsリモートデスクトップサービスで悪用されDoS(サービス妨害)が引き起こされる恐れがありました。

今月パッチが適用された50件の脆弱性のうち、マイクロソフト社は5件を緊急(Critical)、残りの45件を重要(Important)だと位置づけました。これらの問題は、Microsoft Office、Edgeブラウザ、Visual Studio、.NET Core、およびその他の一般的なビジネスアプリケーションに影響を与えました。

Acronis Cyber Protectを使用すると、パッチ管理が迅速かつ容易になります。統合された管理ポータルにより、アップデートするシステムとインストールが必要なパッチを選択するだけで、それらすべてをワンクリックで適用することができます。

ランサムウェアによるパイプラインへの圧力

コロニアル・パイプライン社へのランサムウェア攻撃に伴う操業停止やパニックの中、パイプラインに特化した別のビジネスがランサムウェアの被害に遭いました。それはLineStar Integrity Services社です。

LineStar Integrity Services社はヒューストンに本社を置く企業で、パイプライン業界のさまざまな顧客に対して監査、メンテナンスなどのサービスを提供しており、年間の推定売上高は1億7,100万ドルを超えています。Xing Teamと呼ばれる比較的新しいランサムウェアグループが70GBのデータを盗みましたが、その一部は彼らのリークサイトで公開されています。これらの公開データには、7万3,000件以上のメール、会計ファイル、契約書、ソフトウェアのコードとデータ、社会保障番号や運転免許証を含む人事の機密データなどが含まれています。

Xing Teamは新しいサイバー犯罪組織であり、そのランサムウェアはまだ広く分析されていませんが、Acronis Cyber ProtectのActive Protectionは脅威にとらわれず、マルウェアが依存する悪意のある動作を特定してブロックし、未知のサイバー脅威による盗難や暗号化からデータを守ります。

ソーラーウィンズ社の後、Nobeliumはフィッシングを継続

数ヶ月前にソーラーウィンズ社への攻撃を行ったNobeliumは、政府機関、シンクタンク、コンサルタント会社などの約3,000のアカウントを対象に、巧妙なフィッシングキャンペーンを行ってきました。地域的には米国が中心でしたが、24カ国の受信者がこの悪意のあるメールを受け取っています。.

攻撃者は、米国国際開発庁(USAID)が利用するデジタルマーケティングサービス企業コンスタント・コンタクト社のアカウントにアクセスしました。被害者がこのサービスを信頼していたため、Nobeliumは、送信者やヘッダー情報が有効な、より説得力のあるフィッシングメールを作成することができました。

これらのメールには、米国の選挙違反行為に関する新しい文書を提供するという約束を誘い文句に、最終的に悪意のあるISOファイルに誘導されるリンクが含まれています。このファイルには、実際にはCobalt Strikeのバックドアである悪意のあるDLLを起動するLNKファイルが含まれています。

Acronis Cyber Protectは、悪意のあるWebサイトへのアクセスをブロックするURLフィルタリング機能を備えているほか、振る舞い検知とマシンインテリジェンスを搭載した高度なマルウェア対策エンジンにより、バックドアの実行を阻止します。

# # #

アクロニスのサイバーセキュリティエキスパートがお届けする新たなサイバー脅威に関する最新情報を確認するには、アクロニスのYouTubeチャンネルに登録してください。CPOCからの最新情報を受け取ることができます。