昨年セントポール市への破壊的なサイバー攻撃を実行したランサムウェアギャングは、最近、バグが公に開示される前に、人気のあるCiscoファイアウォールシリーズの脆弱性を悪用しました。
Amazon Integrated SecurityのCISO、CJ Moses氏は水曜日、Interlockランサムウェアギャングによる CVE-2026-20131 の悪用の概要を述べたレポートを公開しました。これは3月4日に開示された、Cisco Secure Firewall Management Center ソフトウェアに影響する重大な脆弱性です。
Moses氏によると、Interlockは1月26日から攻撃でこの脆弱性を使用し始めました。Ciscoはコメント要請に応じませんでしたが、水曜日に勧告をアップデートし、この脆弱性が悪用されたことを確認しました。
「これは単なる別の脆弱性悪用ではなく、Interlockは手にゼロデイ脆弱性を持っていて、防御側が何を見る必要があるかを知る前に、組織を侵害するための1週間の先制アドバンテージを与えました」とMoses氏は述べました。
「ここでの本当のストーリーは、1つの脆弱性または1つのランサムウェアグループについてだけではなく、ゼロデイ悪用がすべてのセキュリティモデルに与える根本的な課題についてです。攻撃者がパッチが存在する前に脆弱性を悪用するとき、最も勤勉なパッチ適用プログラムでさえ、その重大なウィンドウで保護することができません。」
Cisco Secure Firewall Management Center は、管理者が単一のインターフェースから Cisco ファイアウォールを管理できる集中プラットフォームです。
Moses氏は、顧客に指導を送信できるように、彼らの調査結果をCiscoに開示したと述べました。
Amazonは、ランサムウェアギャングのステージング領域として機能した設定が誤ったインフラストラクチャサーバを通じて、バグの悪用とInterlockの操作に関する情報を発見することができました。
セキュリティ研究者は、カスタムマルウェア、偵察スクリプト、回避技術など、多くの情報を発見しました。
彼らはまた、Interlockの身代金要求メモと交渉ポータルを見つけ、これが彼らが悪用をギャングに帰属させた方法です。
「身代金要求メモの複数のデータ保護規制の呼び出しは、規制上の露出を引用して被害者に圧力をかけるInterlockの文書化された慣行を反映しており、基本的に組織を単なるデータ暗号化だけでなく、規制上の罰金とコンプライアンス違反で脅かしています」とMoses氏は書きました。
彼らは、Interlockが歴史的に地方政府や学校など、運用ダウンタイムを容認できない組織を標的にしてきたと述べました。
ミネソタ州セントポール市の政府は、Interlockランサムウェア攻撃から回復するために数週間苦しみました。州知事は回復支援のために州兵を招集するよう強制されました。
透析治療会社DaVitaおよびオハイオ州最大のヘルスケアシステムの1つに対するグループの攻撃は激怒を引き起こし、数百万人の機密ヘルス情報を露出させました。
Moses氏によると、教育セクターが彼らの活動の最大シェアを占めています。ランサムウェアギャングのリークサイトは過去6か月間に複数のK-12学校をリストしており、含む いくつかの報告したサイバー攻撃または教育機関に広範な問題を引き起こした侵害です。
Amazon研究者は、行為者が通常、モスクワおよびいくつかの中東諸国のタイムゾーンである UTC+3 で動作していることに気付きました。
Moses氏は、Amazon研究者が発見した悪意のあるツールとともに、攻撃中にInterlock が ConnectWise ScreenConnect、インシデント対応ツール Volatility、攻撃的セキュリティ製品 Certify など、多くの合法的なセキュリティツールを使用していることを発見したと付け加えました。
FBI および他の連邦機関は去年、Interlockが2024年9月に出現し、北米およびヨーロッパ全域の重要インフラおよび企業を繰り返し標的にしていると述べました。
勧告は、分析者がInterlock と Rhysida 間の潜在的なリンクを特定したことを指摘しました。Rhysida は世界中の政府への攻撃で知られている別のランサムウェア操作です。
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/cisco-ransomware-interlock-firewalls
