| 事件発生日 | 2023年5月上旬 |
|---|---|
| 被害者名 | アメリカの教育施設 |
| 被害サマリ | 脆弱性CVE-2023-27350を利用した攻撃により、Bl00dy Ransomware GangがPaperCutサーバにアクセスし、データを盗み出し、ファイルを暗号化して身代金を要求した。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | Bl00dy Ransomware Gang |
|---|---|
| 攻撃手法サマリ | 脆弱性CVE-2023-27350を悪用した攻撃 |
| マルウェア | Cobalt Strike Beacons、DiceLoader、TrueBot |
| 脆弱性 | PaperCut MFやNGの一部のバージョンに影響する、認証のバイパスおよびリモートコード実行を可能にするCVE-2023-27350 |
| CVE | CVE-2023-27350 |
|---|---|
| 影響を受ける製品 | PaperCut MFとNGの一部のバージョン |
| 脆弱性サマリ | PaperCutサーバーにCVE-2023-27350が存在することにより、Bl00dy Ransomware Gangが攻撃し、データを暗号化して身代金を要求した。 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 観測されている |
| PoC公開 | 不明 |
Bl00dy Ransomware Gangによる攻撃が、PaperCut MFとNGの一部のバージョンに存在する脆弱性CVE-2023-27350を狙って行われたことがFBIとCISAによって報告された。攻撃にはデータの盗難や暗号化が含まれ、この脆弱性を利用した攻撃が中旬から報告されている。これに加えて、この脆弱性を悪用するためにコバルトストライクなどの追加ペイロードが使用される攻撃も確認された。また、別の教育機関向けの攻撃にはXMRig暗号化マイナーが使用されていた。PaperCutの印刷サーバーへの攻撃は、イランのMango SandstormとMint Sandstormなどの国家スポンサーによっても行われている。
| CVE | CVE-2023-32243 |
|---|---|
| 影響を受ける製品 | Essential Addons for Elementor |
| 脆弱性サマリ | Essential Addons for Elementorの一つの脆弱性が、攻撃者に対象のサイトの特権を与え、ユーザのパスワードをリセットすることができる。 |
| 重大度 | 高 |
| RCE | 無し |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Outlookのゼロクリック脆弱性を悪用した攻撃に再び利用される可能性があったが、MicrosoftがCVE-2023-29324でパッチをリリースし、対処された。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ゼロクリック脆弱性を悪用した攻撃を回避するため、既存のOutlookの脆弱性パッチに変更を加えたbypassを使用した。 |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-29324 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | Linuxユーザー |
| 被害サマリ | 新しいBPFDoorマルウェアのステルスバージョンが発見され、より堅牢な暗号化と逆シェル通信が特徴。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | BPFDoorと呼ばれるステルスバックドアマルウェアを使用 |
| マルウェア | BPFDoorマルウェア |
| 脆弱性 | 2019年の脆弱性を使用して感染することがある |
| 事件発生日 | 2023年5月7日 |
|---|---|
| 被害者名 | ABB |
| 被害サマリ | ABBがBlack Basta ransomware攻撃を受け、Windows Active Directoryに影響が出て、数百台のデバイスが影響を受けた。会社のオペレーションに混乱が生じ、プロジェクトの遅れや工場への影響が報告された。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | Black Basta ransomware |
|---|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
| マルウェア | Black Basta ransomware |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | SchoolDudeオンラインプラットフォームのユーザー |
| 被害サマリ | Brightly SoftwareのSchoolDudeオンラインプラットフォームのデータベースにアクセスして、不正アクセス者に顧客アカウントの情報が盗まれた。盗まれた情報には顧客の名前、メールアドレス、アカウントのパスワード、電話番号、学区名が含まれる。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 明らかにされていない |
| マルウェア | 報告には記載がない |
| 脆弱性 | 報告には記載がない |
| 事件発生日 | 2022年2月〜2023年上半期 |
|---|---|
| 被害者名 | VMware ESXiサーバーのユーザー |
| 被害サマリ | 9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃し、暗号化した。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃して暗号化した。 |
| マルウェア | Babuk、Play (.FinDom)、Mario (.emario)、Conti POC (.conti)、REvil aka Revix (.rhkrc)、Cylance ransomware、Dataf Locker、Rorschach aka BabLock、Lock4、RTM Lockerが報告されている。 |
| 脆弱性 | 不明 |
| CVE | CVE-2023-32243 |
|---|---|
| 影響を受ける製品 | WordPressのElementorプラグインの"Essential Addons for Elementor" |
| 脆弱性サマリ | プラグインのパスワードリセット機能における認証されていない特権昇格により、リモート攻撃者がサイトの管理者権限を取得できる可能性がある。 |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2020年12月 |
|---|---|
| 被害者名 | Ubiquiti |
| 被害サマリ | Nickolas SharpがUbiquitiのデータを盗み、企業に400万ドルの支払いを要求し、実際には情報を公開するために報道機関に接触したことで、Ubiquitiの株価が20%下落し、市場キャピタルが40億ドル以上失われた。 |
| 被害額 | 不明(予想:市場キャピタルが40億ドル以上) |
| 攻撃者名 | Nickolas Sharp(元Ubiquiti 開発者) |
|---|---|
| 攻撃手法サマリ | 企業の内部者が顧客情報を盗み出し、支払いを要求すると同時に、報道機関に接触してUbiquitiのセキュリティインシデントに関する虚偽の情報を提供し、Ubiquitiの評判を損ねた。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |