米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)
こんにちは、丸山満彦です。
CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)、HHS(保健福祉省)が共同で、既知のRansomHubランサムウェアのIOCおよびTTPを周知するためのアドバイザリーを公表していますね...
● CISA
・2024.08.29 CISA and Partners Release Advisory on RansomHub Ransomware
CISA and Partners Release Advisory on RansomHub Ransomware | CISAとパートナーがランサムウェア「RansomHub」に関する勧告を発表 |
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), and Department of Health and Human Services (HHS)—released a joint Cybersecurity Advisory, #StopRansomware: RansomHub Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with RansomHub activity identified through FBI investigations and third-party reporting as recently as August 2024. | 本日、CISAは連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)と共同で、サイバーセキュリティに関する共同勧告「#StopRansomware: RansomHub Ransomware(ランサムウェアの阻止:RansomHubランサムウェア)」を発表した。この勧告は、2024年8月に行われたFBIの調査およびサードパーティからの報告により識別されたRansomHubの活動に関連する、侵害の兆候(IOC)、戦術、技術、手順(TTP)、および検知方法について、ネットワーク防御者に提供するものである。 |
RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—which has recently attracted high-profile affiliates from other prominent variants such as LockBit and ALPHV. | RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、最近ではLockBitやALPHVなどの他の著名な亜種から注目度の高い関連組織を引きつけている。 |
CISA encourages network defenders to review this advisory and apply the recommended mitigations. See #StopRansomware and the #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including added recommended baseline protections. | CISAは、ネットワークの防御担当者に本勧告を確認し、推奨される低減策を適用するよう促している。ランサムウェアの防御、検知、対応に関する追加のガイダンスについては、#StopRansomwareおよび#StopRansomwareガイドを参照のこと。推奨される追加のベースライン防御策を含むCPGの詳細については、CISAの「Cross-Sector Cybersecurity Performance Goals」を参照のこと。 |
CISA encourages software manufacturers to take ownership of improving the security outcomes of their customers by applying secure by design methods. For more information on Secure by Design, see CISA’s Secure by Design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. | CISAは、ソフトウェア製造事業者に対して、セキュア・バイ・デザイン手法を適用することで、顧客のセキュリティ成果の改善に責任を持つことを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインに関するウェブページおよび共同ガイド「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザインソフトウェアのための原則とアプローチ」を参照のこと。 |
・2024.08.29 #StopRansomware: RansomHub Ransomware
#StopRansomware: RansomHub Ransomware | #StopRansomware:ランサムウェア |
Alert Code : AA24-242A | 警告コード:AA24-242A |
Actions to take today to mitigate cyber threats from ransomware: | ランサムウェアによるサイバー脅威を低減するために今日行うべき対策: |
・Install updates for operating systems, software, and firmware as soon as they are released. | ・オペレーティングシステム、ソフトウェア、およびファームウェアのアップデートがリリースされたら、できるだけ早くインストールする。 |
・Require phishing-resistant MFA (i.e., non-SMS text based) for as many services as possible. | ・可能な限り多くのサービスで、フィッシングに強いMFA(SMSテキストベースではない)を要求する。 |
・Train users to recognize and report phishing attempts. | ・ユーザーにフィッシングの試みを認識し報告するようトレーニングする。 |
Summary | まとめ |
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. | 注:この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種とランサムウェアの脅威行為者を詳細に説明する勧告をネットワーク防御者に公表する、継続中の#StopRansomware活動の一部である。これらの #StopRansomware 勧告には、最近および過去に観測された戦術、技術、手順(TTP)や侵入の痕跡(IOC)が含まれており、組織がランサムウェアに対する防御を強化するのに役立つ。stopransomware.gov にアクセスすると、すべての #StopRansomware 勧告を確認できるほか、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。 |
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024. RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV). | 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数州情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)(以下、作成組織)は、既知のRansomHubランサムウェアのIOCおよびTTPを周知するために、この共同勧告を発表する。これらは、2024年8月にもFBIの脅威対応活動やサードパーティの報告を通じて識別されている。RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、効率的で成功したサービスモデルとして確立されている(最近では、LockBitやALPHVなどの他の著名な亜種から注目度の高い提携先を引きつけている)。 |
Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors. | 2024年2月の発足以来、RansomHubは、上下水道、IT、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要製造事業者、交通、コミュニケーションといった重要インフラ部門の少なくとも210人の被害者からデータを暗号化し、外部に持ち出している。 |
The affiliates leverage a double-extortion model by encrypting systems and exfiltrating data to extort victims. It should be noted that data exfiltration methods are dependent on the affiliate conducting the network compromise. The ransom note dropped during encryption does not generally include an initial ransom demand or payment instructions. Instead, the note provides victims with a client ID and instructs them to contact the ransomware group via a unique .onion URL (reachable through the Tor browser). The ransom note typically gives victims between three and 90 days to pay the ransom (depending on the affiliate) before the ransomware group publishes their data on the RansomHub Tor data leak site. | このグループは、システムを暗号化しデータを外部に持ち出すという二重の恐喝モデルを活用して、被害者から金銭を脅し取っている。 データ外部流出の手法は、ネットワーク侵害を実行するグループによって異なる点に留意すべきである。 暗号化中にドロップされる身代金要求書には、通常、当初の身代金要求や支払い指示は含まれていない。代わりに、そのメモにはクライアントIDが記載されており、Torブラウザでアクセス可能な.onion URLを通じてランサムウェアグループに連絡するよう指示されている。 ランサムメモでは、通常、ランサムウェアグループがTorデータ漏洩サイトRansomHubにデータを公開する前に、被害者に3日から90日の間に身代金を支払うよう求めている(アフィリエイトによって異なる)。 |
The authoring organizations encourage network defenders to implement the recommendations in the Mitigations section of this cybersecurity advisory to reduce the likelihood and impact of ransomware incidents. | 作成組織は、ネットワークの防御担当者に、ランサムウェアのインシデントの可能性と影響を低減するために、このサイバーセキュリティ勧告の「低減策」セクションに記載されている推奨事項を実施するよう呼びかけている。 |
・[PDF]
« 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29) | Main | 米国 CISA サイバー報告の改善に向けた新しいポータルを開設 (2024.08.29) »
Comments