« NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー | Main | 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01) »

2023.02.13

米国・韓国「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」から身代金は払うなよ...

こんにちは、丸山満彦です。

米国の国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ局(CISA)、保健福祉省(HHS)、韓国の国家情報院(NIS)、国防安全保障局(DSA)が共同で、「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」というサイバーセキュリティの助言(CSA)を発出していますね。。。要は、身代金払うなよ...ということだと思います。。。


CISA

・2023.02.09 #StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities

#StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities #StopRansomware - 重要インフラへのランサムウェア攻撃はDPRKのスパイ活動の資金源になる
CISA, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Department of Health and Human Services (HHS), and Republic of Korea’s Defense Security Agency and National Intelligence Service have released a joint Cybersecurity Advisory (CSA), Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities, to provide information on ransomware activity used by North Korean state-sponsored cyber to target various critical infrastructure sectors, especially Healthcare and Public Health (HPH) Sector organizations. CISA、国家安全保障局(NSA)、連邦捜査局(FBI)、保健福祉省(HHS)、韓国の国防安全保障局および国家情報院は、北朝鮮の国家支援によるサイバーがさまざまな重要インフラ部門、特に医療・公衆衛生(HPH)部門の組織を標的にしているランサムウェア活動に関する情報を提供する共同サイバーセキュリティ勧告(CSA)、重要インフラに対するランサムウェア攻撃が北朝鮮のスパイ活動の資金源となる、を発表した。
The authoring agencies urge network defenders to examine their current cybersecurity posture and apply the recommended mitigations in this joint CSA, which include: 作成機関は、ネットワーク防御者が現在のサイバーセキュリティの姿勢を調査し、この共同CSAの推奨する緩和策を適用することを強く求める。
・Train users to recognize and report phishing attempts. ・フィッシングの試みを認識し、報告するようユーザーを教育する。
・Enable and enforce phishing-resistant multifactor authentication.  ・フィッシングに強い多要素認証を導入する。 
・Install and regularly update antivirus and antimalware software on all hosts.  ・すべてのホストにアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、定期的に更新する。 
See Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities for ransomware actor’s tactics, techniques, and procedures, indicators of compromise, and recommended mitigations. Additionally, review StopRansomware.gov for more guidance on ransomware protection, detection, and response. ランサムウェアの行為者の戦術、技術、手順、侵害の指標、推奨される緩和策については、「重要インフラ資金北朝鮮スパイ活動に対するランサムウェア攻撃」を参照すること。また、StopRansomware.govでは、ランサムウェアの保護、検出、対応に関するガイダンスが掲載されている。
For more information on state-sponsored North Korean malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動の詳細については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・2023.02.09 Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities アラート(AA23-040A) #StopRansomware: 重要インフラへのランサムウェア攻撃は北朝鮮の悪意あるサイバー活動を資金源としている
Summary 概要
Note: This Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and various ransomware threat actors. These #StopRansomware advisories detail historically and recently observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn about other ransomware threats and no-cost resources. 注:このサイバーセキュリティアドバイザリ(CSA)は、ネットワーク防御者向けに、さまざまなランサムウェアの亜種とさまざまなランサムウェアの脅威要因について詳述したアドバイザリを公開する、#StopRansomware の継続的な取り組みの一部である。これらの #StopRansomware アドバイザリでは、ランサムウェアから組織を保護するために、歴史的および最近観測された戦術、技術、手順 (TTPs) と侵害の指標 (IOCs) について詳しく説明している。stopransomware.gov であるべての #StopRansomware アドバイザリーを参照し、その他のランサムウェアの脅威や無償のリソースについて学ぶこと。
The United States National Security Agency (NSA), the U.S. Federal Bureau of Investigation (FBI), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Department of Health and Human Services (HHS), the Republic of Korea (ROK) National Intelligence Service (NIS), and the ROK Defense Security Agency (DSA) (hereafter referred to as the “authoring agencies”) are issuing this joint Cybersecurity Advisory (CSA) to highlight ongoing ransomware activity against Healthcare and Public Health Sector organizations and other critical infrastructure sector entities. 米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国保健福祉省(HHS)、韓国国家情報院(NIS)、韓国国防安全保障局(DSA)(以下、「作成機関」という)は、医療・公衆衛生分野の組織やその他の重要インフラ部門に対するランサムウェアの進行状況を明らかにするため、この共同サイバーセキュリティアドバイザリー(CSA)を発出する。
This CSA provides an overview of Democratic People’s Republic of Korea (DPRK) state-sponsored ransomware and updates the July 6, 2022, joint CSA North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector. This advisory highlights TTPs and IOCs DPRK cyber actors used to gain access to and conduct ransomware attacks against Healthcare and Public Health (HPH) Sector organizations and other critical infrastructure sector entities, as well as DPRK cyber actors’ use of cryptocurrency to demand ransoms. 本CSAは、朝鮮民主主義人民共和国(DPRK)国家支援型ランサムウェアの概要を説明し、2022年7月6日の共同CSA「北朝鮮国家支援型サイバーアクターがマウイランサムウェアを使用してヘルスケアおよび公衆衛生セクターを標的に」を更新している。この勧告では、北朝鮮のサイバー行為者が医療・公衆衛生(HPH)セクターの組織やその他の重要インフラストラクチャ・セクターの事業体にアクセスしランサムウェア攻撃を行うために使用した TTP と IOC、および北朝鮮のサイバー行為者が身代金を要求するために暗号通貨を使用したことを明らかにする。
The authoring agencies assess that an unspecified amount of revenue from these cryptocurrency operations supports DPRK national-level priorities and objectives, including cyber operations targeting the United States and South Korea governments—specific targets include Department of Defense Information Networks and Defense Industrial Base member networks. The IOCs in this product should be useful to sectors previously targeted by DPRK cyber operations (e.g., U.S. government, Department of Defense, and Defense Industrial Base). The authoring agencies highly discourage paying ransoms as doing so does not guarantee files and records will be recovered and may pose sanctions risks. 作成機関は、これらの暗号通貨操作による不特定多数の収益が、米国および韓国政府を標的としたサイバー操作など、北朝鮮の国家レベルの優先事項および目的を支えていると評価している。具体的な標的には、国防総省の情報ネットワークおよび国防産業基盤のメンバーネットワークが含まれている。本製品に含まれる IOC は、過去に北朝鮮のサイバー作戦の標的となったセクター(米国政府、国防総省、国防産業基地など)にとって有用であるはずである。身代金の支払いは、ファイルや記録の復元を保証するものではなく、制裁リスクをもたらす可能性があるため、作成機関は強く推奨しない。
For additional information on state-sponsored DPRK malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・[PDF]

20230212-214555

 

韓国側も...

 

National Intelligence Services: NIS

・2023.02.10  [PDF] 국정원, 북한의 세계 각국 중요 인프라 대상 랜섬웨어 공격 관련 ‘韓美 합동 사이버 보안 권고문’ 발표

20230213-11449

 

・2023.02.10 국정원, '韓美 합동 사이버 보안 권고문' 발표

・[PDF]

20230213-00041

 

 

 

|

« NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー | Main | 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー | Main | 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01) »