Image of The Good, The Bad & The Ugly in CyberSecurity

サイバーセキュリティの良いニュース、悪いニュース、醜いニュース – 第21週

良いニュース

ルーマニアのサイバー警察に拍手を送りましょう。今週、悪名高いLockyランサムウェアやその他の軽犯罪で病院を標的にしようとしていた犯罪者の一団を逮捕しました。組織犯罪・テロ捜査局(DIICOT)はルーマニアとモルドバの住宅を強制捜査し、犯罪を計画し、「ペンタガード」と自称する4名を逮捕しました。

医療サービスを標的にすることで人命を危機にさらしたことの他に、「ペンタガード」のギャングは公共や政府機関ならびに金融サービスや教育機関のウェブサイトに侵入し、改竄しようとした疑いも持たれています。

悪いニュース

皆さんもどこかでこのミームを目にしたことがあるかもしれません。「我々が良いものを持てない理由はこれだ」-このミームがぴったりのニュースが飛び込んできました。ハッキンググループのWinntiが巧妙なマルウェアでゲーム開発者を標的にしているというものです。一見したところ、作成するのにかなりのスキルと労力を必要とするマルウェアの標的としては頓珍漢な選択だと思われるかもしれませんが、使用後すぐに「焼えつきる(セキュリティソリューション用語)」リスクが伴います。通常、このようなリソースは企業や組織の非常に高額な標的で消費されるのみで、その場合、脅威アクターは使用したコストを大幅に超える報酬が見込め、確実なROIがあると認識しています。

しかし、Winntiにはこの点に関してかなりの実績があり、今週のレポートでは、起動ごとに実行されるWindowsのプリンタドライバーを利用して持続するマルウェアがサプライチェーン攻撃の一部としてだけでなく、インゲーム通貨を操作することで利益を得るためにも使用される可能性があると示唆しています。ひとりの掲示板の投稿者が鋭い指摘をしているように、大量マルチプレーヤーのオンラインゲームプラットフォームには何億人ものユーザーを持つインストールベースがあり、高度な特権レベルでソフトウェアを実行し、ユーザーがほとんど精査しない強制/自動アップデートを配布します。マルウェア作成者やボットネットビルダーの視点から見て嫌いなものは何か?

新しいWinntiマルウェアは、PipeMonという新型のバックドアを使用しますが、これによって多数のパイプがモジュール間で通信できるようになります。PipeMon自体は2018年にさかのぼるハッキングでNfinity Gamesから盗まれた正当なWindows署名証明書を使ってインストールされてるように見えました。それ以降、長期間経過したにもかかわらず、盗まれたコード署名証明書はいまだに取り消されていません。

醜いニュース

次は、今週起きた「醜い」侵害のニュースです。これは英国の航空会社EasyJetが発端となりました。英国最大の航空会社から900万人の顧客のEメールアドレスと旅行データが漏洩しましたが、この件は今週になって発覚しました。漏洩に伴い、2,208人の顧客のクレジットカードも漏洩したため、サイバー犯罪者にとっては大きな儲けになる可能性があります。EasyJetは、地域の侵害通知規制を遵守し、5月16日までに影響を受けたすべての顧客に通知を送る予定です。この侵害を受けて、EasyJetの顧客はフィッシングメールに一層の注意を払い、さらに不正取引の兆候がないかクレジットカードの明細書を詳しく確認することが推奨されます。

クレジット: Getty

ミールキット配達スペシャリストのHome Chefは、今週データ漏洩が発生したことを確認しましたが、これは最初、以前は知られていなかったダークネットのデータブローカーであるShinyHuntersが発表していました。このグループは5月にさまざまな犯罪フォーラムで多数の大規模なデータ漏洩をテストし続けていましたが、初期の漏洩はほとんど価値がないことが判明していました。例えば、Microsoftの500GBに相当するソースコードと謳われたものは疑問を持って迎えられましたが、1GBのサンプルを公開した時には出版予定のマテリアルと大差ありませんでした。

しかし、Home Chefやその他のよく知られたサイトは確認の提供を始め、ShinyHuntersの他のクレームを裏付けました。犯罪データ取引の薄暗い世界に「ビッグリーグ」プレイヤーのShinyHuntersが登場しましたが、研究者は、熟練したオペレーターが新しいアイデンティティを試している証拠だとは考えていません。それにもかかわらず、このような漏洩が被害を受けた顧客の心配を増やすことは疑う余地もなく、侵害された組織に対して風評被害を引き起こしています。