サイバー攻撃の脅威進化：LockBit活動継続、シスコとIvantiに警告

LockBitランサムウェアグループは、国際的な法執行機関によるシステムの多くを停止させる作戦が行われた後も活動を続けているが、その実態は以前ほどの力を持っていない可能性がある。LockBitは新しいウェブサイトを立ち上げ、被害者への身代金の支払い期限のリストを更新したが、ジョージア州フォルトン郡から盗んだと主張するデータについて、身代金の支払い期限が過ぎても公開されなかった。LockBitはフォルトン郡が身代金を支払ったと主張したが、フォルトン郡の当局者はそのような支払いを否定している。専門家は、LockBitが持っていたかもしれないデータは、法執行機関によって以前に押収された可能性が高いと示唆している。

また、シスコのNX-OSデータセンター運用システムに関する2つの重大な脆弱性が報告されており、それぞれCVSSスコア8.6のCVE-2024-20267とCVE-2024-20321である。これらの問題に対するパッチが提供されている。

Ivantiの脆弱性に対する緩和策が効果的でない可能性があるとCISAが警告している。IvantiのIntegrity Checker Tool（ICT）が、攻撃者による根本レベルでの持続性を検出または排除できない可能性があるという。

セキュリティ研究者は、クラウド内のアイデンティティプロバイダーを使用する企業に対しても、類似の攻撃が可能であると警告している。この攻撃は、外部で生成されたSAML署名証明書を使用することで、ADFSへのアクセスなしにSAMLトークンを偽造できる「Silver SAML」と呼ばれる脆弱性に関連している。

【ニュース解説】

国際的な法執行機関による大規模な作戦の後も、LockBitランサムウェアグループは活動を続けていますが、その力は以前ほどではない可能性があります。このグループは新しいウェブサイトを立ち上げ、被害者への身代金の支払い期限のリストを更新しました。しかし、ジョージア州フォルトン郡から盗んだと主張するデータに関して、身代金の支払い期限が過ぎてもデータが公開されなかったことから、LockBitが主張するような影響力を持っているか疑問が投げかけられています。フォルトン郡は身代金を支払ったというLockBitの主張を否定しており、専門家はLockBitが持っていたかもしれないデータは、法執行機関によって以前に押収された可能性が高いと示唆しています。

一方で、シスコのNX-OSデータセンター運用システムに関する重大な脆弱性が報告されています。これらの脆弱性は、攻撃者が遠隔からデバイスのネットワークトラフィック処理を停止させる可能性があることを示しており、対応するパッチの適用が急務です。

さらに、Ivantiの脆弱性に対する緩和策が効果的でない可能性があるというCISAの警告もあります。IvantiのIntegrity Checker Tool（ICT）が、攻撃者による根本レベルでの持続性を検出または排除できない可能性があるため、Ivantiユーザーはこの警告を考慮し、適切な対策を講じる必要があります。

セキュリティ研究者は、クラウド内のアイデンティティプロバイダーを使用する企業に対しても、類似の攻撃が可能であると警告しています。この攻撃は、「Silver SAML」と呼ばれ、外部で生成されたSAML署名証明書を使用することで、ADFSへのアクセスなしにSAMLトークンを偽造できる脆弱性に関連しています。このような攻撃は、組織にとって軽微なものから壊滅的な影響を及ぼす可能性があり、組織は証明書の保護に努める必要があります。

これらのニュースは、サイバーセキュリティの脅威が常に進化していることを示しています。ランサムウェアグループの活動、脆弱性の発見と対策、そして新たな攻撃手法の警告は、組織がセキュリティ対策を常に更新し、警戒を怠らないことの重要性を強調しています。特に、外部からの攻撃だけでなく、内部からの脅威にも注意を払い、全体的なセキュリティ体制の強化を図ることが求められます。

from LockBit's contested claim of fresh ransom payment suggests it's been well hobbled.