【訳】
REvilランサムウェアがMSPサプライチェーン攻撃で1,000社を超える企業を攻撃
【図表】
REvilランサムウェアを実行するPowerShellコマンド (Reddit)
署名付き agent.exe ファイル
agent.exe が埋め込まれたリソースを抽出および実行する
身代金要求
出典: https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
【要約】
REvilランサムウェア集団が、Kaseya VSAを通じたサプライチェーン攻撃により、MSPとその顧客1,000社以上に被害を与えました。攻撃はPowerShellコマンドでDefender機能を無効化し、署名付きファイル経由でランサムウェアを展開する手口でした。影響は限定的とされ、Kaseyaは迅速なパッチ開発と調査を進めています。攻撃者は500万ドルの身代金を要求し、個別に4万4999ドルの要求も発生しています。被害拡大の背景にはMSP特有のリスクが指摘されています。
【ニュース】
◆REvil ransomware hits 1,000+ companies in MSP supply-chain attack (BleepingComputer, 2021/07/02 15:56)
[REvilランサムウェアがMSPサプライチェーン攻撃で1,000社を超える企業を攻撃]
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
【インディケータ情報】
■ハッシュ情報(Sha256) - -
agent.crt - 2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643
agent.exe - d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
mpsvc.dll - e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
mpsvc.dll - 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
(以上は Bleepingcomputer の情報: 引用元は https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/)
【関連まとめ記事】
◆REvil / Sodinokibi (まとめ)
https://incidents.hatenablog.com/entry/REvil
◆サプライチェーン攻撃 (まとめ)
https://incidents.hatenablog.com/entry/Supply_Chain_Attack
