Fox Tempestマルウェア署名サービス作戦は、多数のランサムウェア攻撃にリンクされていた。
マイクロソフトは火曜日 Fox Tempestを中断したと述べた。このサイバー犯罪作戦は、ランサムウェアギャングが正規ソフトウェアの背後にマルウェアを隠すのを助けていた。
Fox Tempestはマルウェア署名サービス作戦を運営していた。これは商用ソフトウェアの真正性を検証するコード署名ツールを悪用していた。
ランサムウェアギャングおよび他の犯罪グループは、マイクロソフトのアーティファクト署名を含むツールを悪用して、ランサムウェア攻撃を実行するための広範なキャンペーンの一部としてマルウェアを配信した。
ニューヨーク南部地区の米国地方裁判所への法的提出を通じて、マイクロソフトはFox Tempestウェブサイトを中断し、数百の仮想マシンをオフラインにし、その作戦の基本的なコードをホストしていたウェブサイトへのアクセスをブロックすることができた。
法的提出はまた、Vanilla Tempestランサムウェアグループを共謀者として指名した。マイクロソフトのブログによれば、Vanilla Tempestは最近の多くの攻撃でLumma Stealer、Oyster、Vidarなどのマルウェア、およびRhysidaランサムウェアを配信するためにこのサービスを使用していると主張されている。
マイクロソフトは、FBIとEuropol’s European Cybercrime Centreと協力したと述べた。逮捕その他の法的手続きが中断の一部であるかどうかは、直ちには明らかではない。
Rhysidaランサムウェアは、英国図書館に対する多くの高度な攻撃やシアトル・タコマ国際空港を標的とした2024年の攻撃で使用されている。マイクロソフトは、その調査がVanilla Tempestを INC、Qilin、Akiraなどの他のサイバー犯罪グループにもリンクしていることを述べた。
マイクロソフトによれば、この作戦は、教育、医療、政府機関、金融サービスを含むさまざまなセクターを標的とした攻撃にリンクされている。被害者は マイクロソフトによると、米国、フランス、インド、中国を含むさまざまな国で標的にされている。
FBIのスポークスパーソンはコメントのためすぐには利用できなかった。
翻訳元: https://www.cybersecuritydive.com/news/microsoft-disrupts-cybercrime-hid-legitimate-software/820724/
