ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Menlo Labsは、ロシアのウクライナ侵攻を追跡しています。この侵略は、物理的に大幅にエスカレートしただけでなく、サイバー領域でも拡大しています。ウクライナ政府と銀行機関の両方に影響を及ぼした分散型サービス拒否(DDoS)攻撃の増加から、ウクライナで発見されたHermeticWiperという名前のワイパーマルウェアの新しい亜種まで、多岐にわたります。その後まもなく、新たなウェブサイト改ざん攻撃がウクライナ政府機関やロシア政府機関にも影響を及ぼしていることが確認されました。
歴史的に、ロシアのサイバー活動に関しては、誰もが公平であり、活動は今後も増加し続けると予想されます。私たちは、ロシアからの紛争以外の標的に対して、スキャン、フィッシング、その他の種類のSWAG(誰もが受けるもの)攻撃が増加していると多くの人が見ている可能性があると、ある程度の自信を持って評価しています。また、Menlo Labs は、ウクライナ難民への寄付を求めるふりをする詐欺やフィッシングキャンペーンが増えるだろうと、ある程度確信を持って考えています。
ロシアとウクライナの紛争によるサイバー活動の増加についていくため、情報コミュニティ(IC)全体で分析および観察した内容に基づいて、この活動速報を更新します。
2021年のコロニアルパイプライン攻撃に関与したとして、ランサムウェア集団REvilのメンバーが判決を待っている中、 彼らの弁護士は協力を提案しました ウクライナとの戦争におけるサイバー犯罪者とロシアの特別機関との間。ロシアの報道機関は、ロシア連邦刑務所が、民間企業でリモート勤務するIT専門家をロシアの刑務所から雇用する戦略を発表したことも報告しています。
ロシアのハッカーグループ Killnetがサイバー攻撃を開始しました カリーニングラードへの商品の輸送を阻止するというリトアニアの決定に対する直接の対応について。同団体は、リトアニアのインターネットインフラの70%を他のウェブから切り離したと主張している。主に国家機関、メディアウェブサイト、交通インフラを対象としている。キルネットはまた、リトアニアの4つの空港のウェブサイトが機能不全に陥ったとも主張している。
アノニマスのハッカーがウェブサイトをダウンさせた 天然資源の合理的かつ環境的に安全な利用の確保を担当する連邦政府機関であるロシア連邦天然資源監督局、ロシアの格安航空会社であるノルダビア(Nordavia)、および視覚障害者のためのスタヴロポリ地域図書館向け。
ウクライナ企業に対するサイバー攻撃 ロシアの国が支援するハッキンググループが追跡されています。ウクライナ以外の42か国の128の組織も、スパイ活動に焦点を当てたハッキングの標的となり、米国が最も標的にされた国でした。ハッキングは約 29% の確率で成功し、一部のケースではデータが盗まれました。
匿名の工作員デパイクスポーターとブーダムーダ ロシアのさまざまなウェブサイトをハッキングしたこれには、ロシア連邦税関局、サンクトペテルブルクの歯科医院のウェブサイト、ロシアの一流法律事務所が含まれます。ハッカーは、弁護士/クライアントの電子メール、法廷ファイル、クライアントのリストなど、1テラバイトのデータを法律事務所からDDoSecretsのWebサイトに漏らしました。
匿名の工作員が会社にハッキングされた ロシア軍の無人偵察機を扱い、ロシアの無人機の計画と戦術に関する情報が記載された機密文書を盗みました。これらの文書には、無人車両産業におけるイノベーションの観点から見た同国の輸出業者と競合企業のリスト、ロシアの軍事会社や政府筋から収集された軍事計画や文書が含まれます。
ロシアは西側に警告した インフラに対するサイバー攻撃は直接の軍事的対立を招く恐れがあり、サイバー分野でモスクワに挑戦しようとする試みには対抗措置が講じられるだろうと。ロシアの外務省は、重要なインフラや国家機関へのサイバー攻撃について、米国とウクライナを非難した。
米国のサイバー高官は企業に警戒態勢を維持するよう求めた ロシアのウクライナ戦争に起因するサイバー攻撃について、警告は攻撃の可能性に関する情報評価に基づいていると述べています。ロシアは、国家支援団体によるものであれ、犯罪組織によるものであれ、悪質なサイバー活動で有名です。
ウクライナの公務員が使用する電話 マルウェア攻撃から継続的に標的にされたただし、違反が成功したという証拠はありませんでした。また、欧州委員会の最高幹部は、被害者の操作を必要としない「ゼロクリック」スパイウェアを使用して携帯電話を標的にしました。これは特に恐れられている攻撃形態です。ウクライナ国家特別通信局の副局長は、自国のデバイスに対してこのような攻撃が行われたかどうかについてはコメントを控えた。
匿名の工作員Rootkit_Secがロシアのソフトウェアシステムの制御権を獲得しました ロシアの国内通貨であるルーブルの安定を守るロシア連邦中央銀行(CBR)の運営に使用されます。ハクティビストは、システムを危険にさらすだけでなく、銀行のデータも漏洩しました。アノニマスは、ロシアの政府機関、企業、その他のウェブサイトの1,200万件を超えるファイルと電子メールを漏らしました。
アノニマスがベラルーシ内務省のウェブサイトを削除しました ロシアのウクライナ侵攻を支援したとされるベラルーシ政府のウェブサイトがブロックされてからわずか数日後。教育省、通信省、法務省、国家法律情報センター、州税関委員会、州委員会のウェブサイトは5月29日に閉鎖されました。
ウクライナのIT軍 — 現在は世界中から集まった27万人のボランティアで構成されています — 1,800以上のロシアのオンラインリソースを攻撃。軍で最も成功した事例には、Rutubeのハッキング、ロシア国内の商品マーキングシステムの停止、1Cサービスなどがあります。
ポール・ナカソネ将軍は次のように確認しました 米国はロシアのウクライナ侵攻に対応して一連の作戦を実施しました。「ハントフォワード」作戦により、米国は外国のハッカーを探し出し、そのツールを米国に対して利用される前に特定することができました。中曽根氏によれば、米国に対するロシアの報復を懸念して始まった「ハントフォワード」活動は、アメリカとその同盟国を守る効果的な方法だったという。これらの活動は、軍に対する完全な民間の監視のもと、国防総省で決定された政策を通じて合法的に行われた。
ウクライナのIT軍が800を超えるロシアのオンラインプラットフォームを攻撃 1週間以内に、銀行、証券取引所、保険会社のサービスを停止します。この攻撃により、ロシアの多くの銀行の顧客がオンラインバンキングサービスを利用できなくなり、スマートフォンを使用して金融取引を行うことができなくなり、ロシアの取引所は通常の業務を再開するために海外の顧客へのアクセスを遮断せざるを得なくなり、マイクロローンサービスを停止し、オンライン保険サービスを中断させ、RuStoreオンラインストアは立ち上げからわずか1週間後に地域制限の背後にDDoS攻撃から身を隠すことを余儀なくされました。
ウクライナはエストニアからサイバー防衛について多くを学ぶことになるグローバルサイバーセキュリティインデックス(GCI)によると、そのサイバー防衛インフラは、米国とサウジアラビアに次いで世界で3番目にランクされています。エストニアは、15年前にロシアが侵略した後、防御を強化し、政府がサイバー脅威に立ち向かうのを支援するためにサイバーディフェンスリーグを設立しました。サイバー・ディフェンス・リーグは、サイバー攻撃によってサービスプロバイダーがダウンした場合の対処法を実践することで時間を寄付するボランティアの集まりです。
ロシアのハッキンググループColdriverがメールを傍受して漏洩した テレサ・メイ前英国首相の「クリーンな」EU離脱協定に代わるBrexit計画が含まれています。コールドドライバーはテクニカル指標を通じてリークと結びついていた。
ロシアのハッカーグループKillnetは、分散型サービス拒否(DDoS)攻撃を利用して 何千ものイタリア政府および交通インフラウェブサイトをターゲットに サーバーに過負荷をかけて、遅延やダウンタイムを引き起こそうとするためです。これに対応して、イタリア政府は、レジリエンスの強化、脅威の予測、危機の管理、偽情報への対策を目的として、2022-2026年の国家サイバーセキュリティ戦略を開始しました。
ロシアのウラジミール・プーチン大統領は言った 戦争が始まって以来、ロシアに対するサイバー攻撃の数は増加しており、ロシアは外国のソフトウェアとハードウェアの使用を減らし、国内の技術と機器に切り替えることで防御を強化する必要があること。プーチン大統領は、ロシアに対する制裁措置により外国のIT、ソフトウェア、製品が制限され、欧米のサプライヤーはロシアでの機器の技術サポートを停止しているため、ロシアは切り替えを行うべきだと主張した。
アノニマス・イタリアと同盟のハクティビスト・グループ キルネットに対する「最後の攻撃」を開始する準備をしている イタリアに対するDDoS攻撃への対応として、ロシアへの甚大な被害が予想されます。この攻撃の目的は、親ロシアのハッキンググループを完全に沈めることです。イタリアのグループは、クレムリンとロシアの衛星通信局のウェブサイトを一時的にブロックすることで、すでにロシアにいくらかの損害を与えています。
ハクティビストがウェブサイトを立ち上げた これは、2人のロシア当局者をロボコールしてつなぎ、なぜ彼らが互いに話しているのかを理解しようとする当局者を混乱させ、注意をそらし、いらいらさせることを目的としています。このサイトは、ロシア政府、軍隊、諜報機関の電話番号を含むリークされたリストからランダムな電話番号を引き出します。ロシアが報復を試みた場合に備えて、ウェブサイトはDDoS攻撃から保護されています。
親ロシアのサイバー犯罪グループ「キルネット」と「レギオン」のハッカー ライブストリーミングをクラッシュさせようとしました ユーロビジョン・ソング・コンテストのフィナーレで、コンクールに参加していたウクライナ管弦楽団の投票を妨害した。ネットワークインフラを狙ったDDoS攻撃は、サイバー攻撃に対抗するイタリアの郵便警察によって軽減されました。
カリフォルニア大学バークレー校法科大学院ヒューマン・ライツ・センターの人権弁護士と捜査官のグループが、ハーグの国際刑事裁判所(ICC)に要請しました ウクライナに対するサイバー攻撃でロシアのハッカーを戦争犯罪で起訴。この要求は、ロシアのGRU軍事情報機関内のハッキンググループであるサンドワームと、彼らの最も悪質なサイバー戦争行為の2つを指摘した。サンドワームは、2015年にウクライナの電力会社を標的にした停電を引き起こし、その1年後には首都で数十万人の民間人が被害を受けた。サンドワームに対する告発は、ICCがこれまでに提起した「サイバー戦争犯罪」の最初の事件となるでしょう。確立された判例は、サンドワームのサイバー攻撃によって被害を受けた人々に正義をもたらすだけでなく、世界中の民間インフラに影響を及ぼす将来のサイバー攻撃を阻止するのにも役立ちます。
匿名の流出件数80万件 文書 ロシアの国営原子力施設ロザトムから。主に原子力会社の顧客、関連会社、契約に関するものです。アノニマスがロザトムに侵入したのは3か月足らずで2回目です。
制裁措置がロシア経済に打撃を与え続ける中、 報復としてのロシアのサイバー攻撃の恐れ 上がる。リスクの1つは、自警団のハッカーによるロシアに対するサイバー攻撃に対する報復として、ロシアが西側諸国政府を攻撃することです。ロシアは、自警団のウクライナへの支援を、西側諸国の政府からの支援の産物であると誤解し、それに応じて攻撃する可能性があります。
ロシアの支払い処理業者 QIWIがハッキングされました アノニマスのハッキング集団NB65によって700万枚の銀行カードが盗まれました。QIWIは侵害の報告を否定しましたが、NB65はハッキングの証拠としてすべてのカードデータをウェブ上に公開しました。
ウクライナに対する悪意のあるサイバー活動 これには、複数のワイパーマルウェアファミリーを展開しているロシアの軍事サイバー事業者、緊急サービス、エネルギー、輸送、通信などのウクライナの民間団体を危険にさらすロシア政府のサイバー攻撃者、ウクライナの指揮統制インフラを破壊するために商用衛星通信ネットワークに対してサイバー攻撃を仕掛けるロシアが含まれます。オーストラリアは、これらのサイバー攻撃を非難するだけでなく、開かれた、自由で、安全で安心できるサイバー空間を弱体化させる国家または国が支援する悪意のある攻撃者に費用を課しています。
米国、EU、英国からの共同発表 アメリカの衛星インターネット企業Viasatに対する攻撃の主な標的はウクライナ軍であることを確認し、英国の国立サイバーセキュリティセンター(NCSC)は、ロシアが攻撃の背後にいることは「ほぼ確実」であると述べました。Viasatは商用および軍事の顧客に高速衛星ブロードバンドを提供しており、サイバー攻撃で何万もの端末が修復不可能なほど損傷し、数千人のウクライナ人ユーザーがインターネットにアクセスできなくなった。この攻撃は他の国にも波及し、ドイツの5800基の風力タービンが停止しました。
数十テラバイトのデータ 低レベルの親ウクライナ人ハッカーによる広範囲にわたるキャンペーンの一環として、ロシアの企業や政府機関から漏洩しました。ハッカーは、全ロシア国営テレビ・ラジオ放送会社から20年間にわたって送られてきた数百万通の電子メールや、ロシア政府、ロシア文化省、ロシアの電力会社、ロシア正教会などの標的から送られた何億通もの文書を漏洩しました。
ロシアのハッキンググループKillnetのメンバーとされる人物が警察に拘留された後、グループの指導者たちは 英国の病院用人工呼吸器をすべて停止すると脅迫した メンバーが釈放されなかったら
米国 リトアニアにサイバー部隊を派遣 ロシアがウクライナに侵攻して以来、オンライン上の脅威が高まっていることを受けて。チームはネットワークをスキャンし、各国が防御を構築できるよう支援し、脅威に関する新しい情報を米国の政府や民間業界団体と共有しています。2018年以降、これらのサイバーチームは16か国、50を超えるネットワークで28のミッションを実施してきました。
ロシアのウクライナにおけるサイバー攻撃活動 潜在能力を最大限に発揮した可能性があります。侵略が始まって以来、少なくとも6つのロシアのハッカーグループがウクライナのデジタルリソースに対して約240件の攻撃を行ってきましたが、最近の制裁措置により、ロシアのハッカーは能力が低下し、以前のように開発できなくなります。しかし、ロシアのハッカーは依然として危険な勢力であり、サイバースペースでウクライナに強い圧力をかけています。
ウクライナのハッカーのボランティア「IT軍」 ロシアのウェブサイトをオフラインにしている ロシアのオンライン決済サービス、政府機関、航空会社、フードデリバリーサービスなどのDDoS攻撃はすべて、ロシアの日常生活を混乱させる標的にされています。ハッキング活動が増えているのは、ロシアとその企業を標的にした世界中のハクティビスト、ウクライナ軍、部外者によるものです。ロシアとウクライナは、DDoSを利用して互いを混乱させてきましたが、ロシアに対する攻撃はより革新的で長期にわたり、最も長く続いた攻撃は177時間を超えました。
侵略の直前から、ロシアと提携した6つの独立した国家主体 237件以上の事業を開始しました ウクライナに対して。サイバー戦争活動には、民間人の福祉を脅かし、ウクライナ政府と軍事機能を混乱させる継続的な破壊的攻撃が含まれます。マイクロソフトは、数百のシステムを狙った約40件のサイバー攻撃を追跡しました。攻撃の3分の1はあらゆるレベルのウクライナ政府機関を標的にしたもので、攻撃の40%は重要なインフラストラクチャを狙ったものでした。ロシアは、プーチン大統領が軍隊にウクライナへの侵攻を命じるほぼ1年前の2021年3月にサイバー攻撃への備えを開始しました。
アノニマスがウェブサイトをハッキングした ロシア連邦執行局(FSSP)の管轄機関で、司法機関の執行機関としての役割を果たし、裁判所職員の安全と裁判所建物内の警備に責任を負っています。
鉄道労働者、ハッカー、治安部隊のネットワーク 障害のある鉄道リンク ベラルーシを経由してロシアとウクライナを結び、ロシアの供給ラインに大混乱をもたらしました。最初の攻撃では、亡命したベラルーシ人のIT専門家で構成されたサイバー・パルチザンが、侵略前の数日間、鉄道のコンピューター・ネットワークに侵入し、ロシア軍が国境を越える前に鉄道交通の速度を落としました。鉄道会社はまだ Windows XP を使用していたため、鉄道ネットワークのコンピューターへの侵入は簡単でした。Windows XP は、多くの脆弱性を含むことが知られている古いバージョンの Windows XP でした。
イーロン・マスクのSpacexスターリンク衛星ネットワーク 急速に戦った ロシアの攻撃者によるウクライナのネットワーク妨害の試み。SpaceXのエンジニアは、攻撃の最初の報告からわずか1日後にコードにパッチを適用することでこの試みを阻止しました。
米国、英国、カナダ、オーストラリア、ニュージーランドで構成される「ファイブ・アイズ」情報共有ネットワークは、 ロシアがサイバー攻撃を検討していると警告している ウクライナを支援している国を対象としており、サイバー犯罪グループと協力して政府、機関、企業に攻撃を仕掛ける可能性もあります。一部のサイバー犯罪グループは最近、ロシア政府への支援を公約しました。
NATOの毎年恒例のサイバー戦争ゲーム ロック・シールド・エクササイズとして知られています、サイバー専門家が時間的制約のもとで防御しなければならない架空のサイバー攻撃をシミュレートします。戦争が始まって以来、参加国のサイバー防衛部隊は厳戒態勢にあったため、この演習は参加国にとって重要です。これにより、複数の政府が使用しているのと同じ技術に対する攻撃について、参加国同士でコミュニケーションをとる機会が得られます。
ウクライナのコンピューター緊急対応チーム(CERT-UA)は ソーシャル・エンジニアリング・キャンペーンについて警告されました Zimbraのエクスプロイトを活用してIcedIDマルウェアを配信するように設計されています。脅威クラスタ UAC-0041 に起因する攻撃は Microsoft Excel ドキュメントを含む電子メールから始まり、ダウンロードするとマクロを有効にするようユーザーに促し、IcedID の展開につながります。2つ目の侵入は、UAC-0097と呼ばれる新しい脅威クラスターに属し、JavaScriptコードをホストするリモートサーバーを指すコンテンツロケーションヘッダー付きの画像添付ファイルを含む電子メールから始まります。画像の添付ファイルをダウンロードすると、Zimbra XSSの脆弱性の悪用(CVE-2018-6882)が有効になり、注入されたJavaScriptを使用して、被害者のメールが脅威アクターの制御下にあるメールアドレスに転送されます。
ウクライナのエネルギー部門 ロシアの軍事ハッカーグループSandwormの標的にされました 複数の変電所に接続されたコンピュータに侵入してすべてのファイルを削除してインフラをシャットダウンしようとしたんだこのマルウェアはウクライナのエネルギー部門の一部のコンピューターへの侵入に成功し、ある施設では障害を引き起こすことさえありましたが、この脅威はITスタッフ、ウクライナの諜報員、マイクロソフト、スロバキアに拠点を置くサイバーセキュリティ企業ESETの支援により迅速に解決されました。この共同作業の結果、Industroyerマルウェアの新しい亜種であるIndustroyer2が発見されました。ありがたいことに、停電したお客様はいませんでした。
匿名のターゲットロシア企業 ロシアの石油・ガス部門を対象としたエンジニアリング会社のアエロガス、サンクトペテルブルク最大のオフィスビルを所有するペトロフスキー・フォート、ロシアを拠点とする伐採会社「フォレスト」。この攻撃により、400 GB 以上の電子メールが漏洩しました。
ロシア独自のランサムウェアは、匿名にリンクされたハッカーグループ、Network Battalion 65(NB65)によって使用されました ロシアの宇宙機関、ロスコスモスへの攻撃に成功。NB65は、盗まれたファイルは、ロシアのウラジーミル・プーチン大統領がもはやスパイ衛星を制御できないことを示していると主張している。盗まれたファイルのソースコードの 1 つは、ロシア製のランサムウェアである Conti と同じコードの 66% で構成されていました。このランサムウェアは、米国やヨーロッパの病院や医療機関から数百万ドルを強奪するために利用されました。NB65はコンティのソースコードをVirusTotalで見つけ、修正版を使って宇宙機関に侵入しました。
オーストラリア信号局のボス、レイチェル・ノーベルは、ロシアは依然としてメジャーを立ち上げる可能性があると警告している ウクライナに対するサイバー攻撃。ノーベルは、ロシアは西側諸国が見返りに何をするのかを恐れて控えてきたと考えている。
サイバー攻撃の新しい波は テレグラムメッセンジャーアカウントのターゲティング。デジタルマローダーは、フィッシングドメインを使用して悪意のあるリンクを含むメッセージをTelegramのWebサイトに送信し、記録への不正アクセスを行っています。攻撃(脅威クラスタ UAC-0094)は、ロシアにある新しいデバイスからのログインが検出されたことを受信者に警告し、リンクをクリックしてアカウントを確認するようユーザーに促すテレグラムメッセージから発信されます。このリンクにより、被害者は電話番号とワンタイムパスワードの入力を求められます。ワンタイムパスワードは、脅威アクターがそのパスワードを使用してアカウントを侵害します。
の報告によると、米国はロシアのサイバー攻撃を未然に防ぐために世界中のマルウェアを密かに削除しました ニューヨークタイムズ。米国司法省とFBIは、世界中の政府から秘密の裁判所命令と支援を受け、G.R.U. の管制官からネットワークを切断されました。FBIは国内の企業ネットワークに侵入し、時には会社に知られずにマルウェアを駆除することができました。このマルウェアによって、ロシア人はG.R.U. が制御するボットネットを作成できるようになったはずですが、その意図は不明でした。
中国は ウクライナをハッキングしたとして非難 ロシア侵攻の数日前、攻撃はウクライナの軍事施設と核施設に対して行われたとされています。キエフの国防省やその他の機関が所有する600以上のウェブサイトが、何千回ものハッキングの試みに遭いました。
攻撃は冬季オリンピックが終わる前に始まり、ロシア軍と戦車が国境を越える前日にピークに達した可能性があります。これらの攻撃は、人民解放軍のトレードマークであるツールや手法によって区別がつきますが、データを盗み、重要な防衛施設や民間インフラを遮断または破壊する方法を模索することを目的としたものだと言われています。
北大西洋条約機構(NATO)およびその他のヨーロッパ軍は ロシアのハッキンググループColdriverの標的 クレデンシャルフィッシングキャンペーンを通じてキャンペーンでは、新しく作成された Gmail アカウントと GSuite 以外の他のメールアカウントが使用されました。
米国のアナリストは、ハッカーがロシアの軍事情報機関に支援されていると考えています 何万台ものViasat衛星モデムが不自由になった ウクライナで。侵入者は、設定ミスのある VPN デバイスを利用して、同社の KA-SAT 衛星の管理ネットワークにリモートアクセスしました。ネットワーク内部から、ハッカーは何万ものモデムに一斉に不正なコマンドを送信して、デバイスメモリ内の重要なデータを上書きし、動作不能にしました。この攻撃はポーランドからフランスまでのユーザーに影響を及ぼし、中央ヨーロッパの何千もの風力タービンへのリモートアクセスを遮断しました。
ロシア連邦航空運輸局ロザビアツィアに対する強力なサイバー攻撃 すべての文書とともに65テラバイトのデータを消去しました、ファイル、航空機登録データ、およびサーバー電子メール。ロシア財務省からの資金不足のため、データのバックアップはありません。ハクティビスト集団アノニマスが攻撃を実行したと推定されるが、同団体はその主張を否定している。
ウクレテレコム、のいずれか ウクライナ最大のインターネットプロバイダー そして最大の固定回線通信会社が、強力なサイバー攻撃に見舞われました。ロシアの侵略が始まって以来最も深刻なサイバー攻撃と言われるこの攻撃は、全国で停電を引き起こしました。攻撃が無力化されると、Ukrtelecomは、ネットワークインフラストラクチャを保護し、軍隊やその他の軍事組織へのサービス提供を継続するために、サービスを大多数の個人ユーザーとビジネスクライアントに限定することを余儀なくされました。
ウクライナのコンピューター緊急対応チーム(CERT)は スピアフィッシングキャンペーンを観察した DoubleZeroという新しいマルウェアを使っています。発見されたZIPアーカイブには「ウイルス... 非常に危険!!!」というラベルが付けられています。Zip。」DoubleZero は C# プログラミング言語を使用して開発された悪意のあるデストラクタプログラムです。
このマルウェアは主に 2 つの手法を利用します。1 つ目の方法は、4096 バイトのゼロブロックでコンテンツを上書きするか (FileStream.WRITE を使用)、または API で ntfileOpen, NTFSControlFile (コード:FSCTL_SET_ZERO_DATA) を呼び出して、コンテンツを上書きします。この手法では、感染したシステムをシャットダウンする前に Windows レジストリ (HKCU、HKU、HKLM\ BCD) を削除する必要があります。
アノニマスは、そう主張した後、再び脚光を浴びました ロシア連邦中央銀行をハッキングした。グループはまた、ハッキングに関連する文書を漏らしました。
ウクライナの情報保護サービスの副責任者であるビクター・ゾーラ氏は、ロシアのハッカーは ウクライナの物流ラインへの攻撃食糧や人道的支援を提供する人々を含みます。彼は続けて、攻撃はほとんど成功しなかったか、軽微な混乱を引き起こしたと指摘しました。
米国のバイデン大統領は国民に演説し、企業は次のように述べました サイバー防御を強化すべきだ。大統領は、ロシアがアメリカの企業や重要インフラに対して悪意のあるサイバー活動を行う可能性があることを示唆する「進化する情報」について言及しました。
ロシアはサイバー空間における主要な脅威アクターであり、戦争が続く中、企業は標的型攻撃の増加と発生の可能性に備える必要があります。ガイダンスを提供するために、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は設立しました。 シールドアップは、組織に洞察と推奨事項を提供するリソースセンターです。
のウェブサイト ロシア緊急事態省がハッキングされました。犯人は、ウクライナでのロシア軍の死者数に関するメッセージを投稿しました。「ロシアのメディアを信用するな。彼らはあなたに嘘をついている」、「ウクライナでの戦争に関する詳細情報」、「ロシアのデフォルトは差し迫っている」などのハイパーリンク付きのメッセージも含まれていた。
A 侵害されたウクライナのテレビ局 ウクライナのウォロディミール・ゼレンスキー大統領から偽の降伏発表が送られました。このメッセージは、ゼレンスキーは「ドンバスを奪いたかった」が「成功しなかった」と主張しながら、ウクライナ人に戦闘をやめて武器を明け渡すよう促したが、成功しなかったため、彼はキエフから逃亡した。ゼレンスキーはYouTubeで回答し、これは虚偽の発表であることを確認し、ウクライナは勝利を収めるまで武器を放棄しないと宣言した。
A 新しいウェブサイトが構築されました ポーランドのハクティビストグループ、Squad303では、誰でもランダムなロシア人にウクライナでの戦争についてテキストを送ることができます。このツールは、プーチン大統領のメディア検閲と制限されたソーシャルメディアへのアクセスを断ち切り、一般市民に届けることを目的としています。このサイトでは、メッセージの送信に使用できるWhatsapp番号がランダムに生成されます。このプログラムは、ロシアのデータベースを侵害して入手した約2,000万の携帯電話番号の銀行を活用しています。これまでのところ、3,000万件近くのメッセージが送信されています。
「Caddy」と呼ばれる新しいワイパーマルウェア ウクライナを巡回しています。このマルウェアは、影響を受けたマシンに接続されているすべてのドライブからユーザーデータとパーティション情報を消去します。ファイルが破損してヌルバイト文字で上書きされ、その過程でユーザーデータが永久に失われます。これは破壊的なアプローチであり、お金を引き出すこととは何の関係もありません。キャディーは、戦争が始まって以来、ウクライナのシステムを攻撃した3人目のワイパーです。
デジタルマローダーは ニュースを活用する、ロシアのウクライナ侵攻が彼らの汚い行為をするようになり、活動も全体的に注目されるようになってきている。オンラインハッカーは、戦争が始まって以来活発に活動しており、紛争が長く続くほど活動を活発化し、より多くのお金を盗むための気を散らす手段として利用してきました。最近ロシアに対して実施された制裁措置を受けて、金融サービス業界が主要な標的になると予想されています。
カナダのジャスティン・トルドー首相がロシアの制裁に関与した後、ロシアは現在 サイバー攻撃のリスクが高くなることが予想される ロシアから発せられます。Sandwormを含む世界で最も悪名高いサイバーハッキンググループがロシアに居住してきた歴史を踏まえると、カナダのサイバーセキュリティ専門家は、ロシアが制裁措置に対抗するための資金を必要としていることから、避けられないサイバー攻撃を予想しています。大企業には備えができているかもしれませんが、カナダの中小企業の半数近くが 2021 年にサイバーセキュリティに予算を割り当てられなかったためにサイバー攻撃を受けたことを考えると、小規模な組織は警戒すべきです。
ロシア軍が軍隊に指示を送るのを手伝ったとして告発されたハッカーがウクライナで拘留されました。容疑者は ロシア当局に何千回も電話をかけていたと非難された そして、降伏を示唆するテキストメッセージをウクライナ当局に送ったとして非難されました。容疑者が押収した機器は、ウクライナの携帯電話トラフィックをロシアのネットワークにルーティングするために使用されました。
アノニマスはツイッターで共有しました 攻撃されたロシアのウェブサイトの名前 証拠としてスクリーンショットを提供して降ろしました。サイトには、ロシアの連邦保安局(ロシアの主要治安機関であり、ソ連のKGBの主要な後継機関)であるMoscow.ru、同国の社会経済開発問題に関するロシアのシンクタンクであるロシア連邦政府分析センター、ロシア連邦スポーツ省などがあります。同グループはまた、プーチン大統領とロシア国防相の間で、ウクライナの森林を伐採して売却する計画を概説した通信が漏洩したことをツイートした。 ロザトムを倒した、ウクライナの原子力発電所、ザポリージャを押収したロシア企業。このグループは、サイト上のインターフェースを変更してアクセスできないようにしました。彼らはまた、一般に公開する予定の大量のデータにアクセスしたと主張した。
30万人以上の個人(その多くは他の国から来ています)が、と呼ばれるテレグラムグループに登録しました ウクライナIT軍 ロシアのウェブサービスを混乱させることを目的としています。侵略が始まって以来、クレムリンとドゥマ (ロシアの下院) のウェブサイトは断続的に公開されている。メディアサービス、銀行、エネルギー大手のガスプロムも標的にされている。
GhostSecと呼ばれる匿名の分派が、ロシアの印刷業者を操り、ウクライナでの戦争に関する情報を印刷することに成功した。 このグループは、100を超えるロシア政府および軍の印刷業者を押収しました 次のメッセージを印刷するには:
これはあなたの戦争ではありません。これは君たちの政府の戦争だ。私たちはあなたの兄弟姉妹に嘘をついています。一部の軍事ユニットの兵士は、自分たちは編隊中だと思っている。しかし、訓練という目標を達成すると、プーチンの操り人形が自分たちに与えた土地の破壊に対する復讐を願う血に飢えたウクライナ人が出くわします。彼らの中には、ウクライナ侵攻に参加すれば、歴史に名を残し、世界をより良い場所にするだろうと考える者もいる。兄弟の皆さん,目を開けてください。ウクライナに栄光あれ!ウクライナ人とロシア人に神のご加護を。ロシア政府に、ウクライナ人が毎日生きなければならないような生活を送らせましょう。
ウクライナ側についていると表明した脅威アクター(NB65)が情報漏えいしたとされる カスペルスキーのソースコード。一部のTwitterの投稿によると、これはKaspersky IRを忙しく保つための単なるスタントだったのかもしれません。
複数の情報源がハッカーが持っていたと報告しました ブルガリアのメディアを乗っ取った ロシアのウラジーミル・プーチン大統領が嫌うミームを放送すること。
イーロン・マスクによると、スターリンクはウクライナの一部でロシア以外の唯一の通信システムであり、魅力的だという ロシアのハッカーの標的。SpaceXはその後、サイバー防御の強化に注力しています スターリンク信号が妨害される。
ウクライナのデジタル変革担当大臣ミハイロ・フェドロフは、「デジタル能力」を持つすべての人からの支援を求めています。フェデロフはウクライナのIT軍に所属しており、 ラグタグハッカーのグループ 国内外で分散型サービス拒否攻撃 (DDoS) を連携させる仕組みです。彼らの活動により、ロシア当局のいくつかのウェブサイトがオフラインになりました。これらの攻撃の目的は、ロシアに注意をそらすことで、ロシアが問題に迅速に対処し、軍事的努力をそらすことを余儀なくさせることです。
CyberKnownのレポートによると、Lulzsecは 活動を再開したと主張して。これは、今後1日および数週間で注意深く監視する必要があります。
ガーディアンが報告します VisaとMastercardは、ロシアがウクライナに侵攻した後、ロシアでの事業を停止すると発表したと発表しました。
によると darkfeed.io、ランサムウェアギャングは、戦争が彼らの活動を妨害していることを示しています。
アノニマスは彼らが持っていると発表しました 漏洩したネットワークインフラ情報 ロシアの産業用制御システム用。これは、2月にロシアの軍事データが漏洩したことに続くものです。
ESETの研究者が発見しました 新しいデータワイパーマルウェア — アイザック・ワイパーと呼ばれる —それはウクライナ政府のネットワークに対して使用されました。ESETテレメトリーによると、国内の何百台ものマシンにインストールされていることが分かります。これは、ウクライナの複数のウェブサイトに対するDDoS攻撃に続くものです。
[この紛争中に脅威アクター間で行われている対話は前例のないものです。この紛争の間、脅威アクターは公の立場を取るか、中立を保っています。私たちは、中立を保っているグループが、関連会社への支払いを続けるだけでなく、国際的なグループメンバー間の平和を維持するためにもやっていると信じています。また、多くの脅威アクターがロシアのインフラを利用し、多くの脅威アクターがロシア出身であるため、紛争が激化し続けると、脅威活動が中断される可能性があると私たちは考えています。]
主要な情報源であり、脅威アクターのドラマでもある VX-Underground は、最近、ランサムウェア集団のコンティがロシアに味方していたことがICに注目されました。それと同時に、アノニマスはロシアとのデジタル戦争を宣言していました。
アノニマスはツイッターで、ロシア政府のサイトを削除したことを伝えました。その日遅く、VX-Ungroundは「ロシア政府、ウクライナに栄光あれ!」というメッセージとともに、コンティのメンバーが内部文書を漏らし始めたとツイートした。そのメンバーは、データは数人のジャーナリストや研究者に送られたと述べたが、現在は公開されている。
同じ頃、LockBitはダークウェブのフォーラムで、漏洩した文書を確認している間、運用上のセキュリティが不足しているとContiを批判しました。ロックビットは続けて、エモテット/トリックボットのソース(コンティが過去にトリックボットと提携したことへの言及)を購入すると述べました。
LockBitはリークサイトに、彼らは味方するつもりはないと投稿した。おそらくコンティでまたジャブを仕掛けたのだろう。しかし、LockBitだけではありません。他のランサムウェア集団も、自分たちの「従業員」や関連会社は世界中にいると言って、味方するつもりはないと言っています。
24日に正式にデジタル戦争を宣言した後、アノニマスは26日にツイートを投稿しました第四に ロシア国営テレビをハッキングして、ウクライナで起きていることについての本当のニュースを放送していたということだ。また、その日、彼らはロシアの軍事通信を傍受したと主張しました。
ザの SANS研究所は多数のリソースを提供しました 企業が自社のインフラをスキャンし、ロシアから発せられる既知のTTPやマルウェアに対する防御策を構築するためのものです。さらに、Cyber Knowは、紛争に関連するサイバー活動に関与していることがわかっているグループのリストも公開しました。
CrowdStrikeによると、WhisperGateと呼ばれる新しいマルウェアファミリーがウクライナの標的に対して展開されたと伝えられています。このインシデントには、検出されたローカルディスクを破損させる悪意のあるブートローダー、Discordベースのダウンローダー、ファイルワイパーなど、同じ攻撃者がデプロイした3つの個別のコンポーネントが含まれていたと広く報告されています。感染後、脅威アクターは偽の身代金要求のメモを残します。この活動は、ウクライナ政府の複数のウェブサイトが改ざんされたのとほぼ同時に発生したとされています。
センチネル・ラボが報告しました 脅威情報コミュニティが、ウクライナの組織で広まっている新しいワイパーマルウェアのサンプルを観察し始めたということです。このマルウェアは、再起動後にシャドウコピーを削除してMBRを操作した後、Windowsデバイスを消去するワイパーを展開するために使用されているHermetic Digital Ltd(現在は廃止)の署名付きドライバーを示しています。このワイパーは「ハーメチックワイパー」と呼ばれています。
英国の国立サイバーセキュリティセンター(NCSC)、 サイバーセキュリティおよびインフラストラクチャセキュリティ機関 (CISA)、国家安全保障局(NSA)、および連邦捜査局(FBI)は、SandwormまたはVoodoo Bearとして知られる攻撃者が、ここではCyclops Blinkと呼ばれる新しいマルウェアを使用していることを確認しました。NCSC、CISA、およびFBIは以前、サンドワームのアクターをロシア参謀本部のロシア(GRU)の特殊技術メインセンター(GTSSt)のせいにしていました。
Menlo Labsは紛争を注意深く監視し、新しい情報を探しています。これらの攻撃は主にウクライナとロシアに限定されていますが、使用されているマルウェアに加えて同様の攻撃が他の標的に利用される可能性もあります。
