FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有

FBI, CISA, NSA share defense tips for BlackMatter ransomware attacks

2021/10/18 BleepingComputer — 今日、Cybersecurity and Infrastructure Security Agency (CISA) および、Federal Bureau of Investigation (FBI)、National Security Agency (NSA) は、ランサムウェア BlackMatter の活動に関する詳細を記載する勧告を発表した。また、この3組織は、この敵対者のネットワーク上での活動を把握し、防御するのに役立つ情報を提供している。

BlackMatter RaaS の活動は、米国/カナダ/オーストラリア/英国において、企業ネットワークを侵害するという明確な目標を掲げて7月に始まり、少なくとも $100 million の収益を上げてきた。同グループの発表によると、病院/重要インフラ/非営利団体/防衛産業/政府機関以外であれば、攻撃の標的となる企業へのアクセス権を、$100,000 程度で購入することを検討しているようだ。

危殆化した認証情報

BlackMatter は、米国の複数の組織のシステムを暗号化し、暗号通貨で $15 million もの身代金を要求している。CISA/FBI/NSA が共同で発表したサイバーセキュリティ・アドバイザリでは、BlackMatter の活動に関連する TTP (Tactics/Techniques/Procedures) が紹介されており、このランサムウェア・ギャングから身を守るのに役立つ。

隔離された環境で解析された、このマルウェアの1つの亜種では、侵害した管理者の認証情報を利用して、被害者の Active Directory に登録されている全ホストが発見されていた。また、Microsoft Remote Procedure Call (MSRPC) 関数 (srvsvc.NetShareEnumAll) を使用して、各ホストからアクセス可能な、すべてのネットワーク共有がリストアップされていた。CISA/FBI/NSA の共同勧告書には、「注目すべきは、この BlackMatter の亜種は、エンベッドした認証情報と SMB プロトコルを利用して、感染済のホストからリモートで暗号化を行えることだ」と記されている。

ファイル暗号化マルウェア BlackMatter には、Linux ベースのバージョンもあり、企業環境でリソース管理を目的として広く利用されている、VMware ESXi の仮想サーバーを暗号化することも可能だ。この勧告では、バックアップのためのデータストアやアプライアンスを暗号化する、他のランサムウェアの脅威アクターとは異なり、BlackMatter は再フォーマットなどを行うと警告している。

検知と防御

3つの組織は、BlackMatter ランサムウェアに関連する TTP に基づき、オープンソースのネットワーク侵入検知/防止システム Snort 用のシグネチャを作成し、リモートからの暗号化プロセスが開始されたときに、警告を発するようにした。

BlackMatter ランサムウェアに対抗するために、CISA/FBI/NSA は、基本的なパスワードの衛生管理から、Active Directory 攻撃を最小化する緩和策に至るまで、一連のサイバー・セキュリティ対策を共有している。

これらの機関は、上記の Snort シグネチャを使用する以外にも、amin/service/domain の管理者アカウントなどに、強力なパスワードを使用することを推奨している。その機能をサポートする、すべてのサービスにはおいて、多要素認証を有効にする必要がある。この要件は、Web メール/VPN などの重要システムのアカウントにおいて、とりわけ重要となる。

セキュリティ・パッチを期限内にインストールすることは、サイバー・セキュリティの脅威にさらされる機会を最小限に抑えるために、組織がとり得る最も効率的で費用対効果の高い手段の1つであることに変わりない。本アドバイザリに記載されている、追加の緩和策のアドバイスは、以下のとおりである。

  • ネットワーク上のリソースへのアクセスを、必要なサービスやユーザーに限定する。
  • ネットワークの可視化とマッピングを保護し、横方向への移動を示す異常な活動を検知するために、ネットワーク分割とトラバーサル監視を行う。
  • 管理者権限のアカウントに対して、タスク完了に必要なタイムベースのアクセスを設定する。
  • 特権の昇格や横行を防ぐために、コマンドラインやスクリプトによる操作や権限を無効にする。
  • 暗号化され、改ざんできない、WORM (Write Once Read Many) ストレージ・デバイスを用いて、定期的にオフライン・バックアップを維持する。

    重要インフラ組織については、優先的に実施すべき特別な補完的緩和策を発表されている。
  • LSASS のメモリへの平文パスワード保存を無効にする。
  • NTLM (New Technology Local Area Network Manager) および WDigest 認証の無効化または制限を検討する。
  • Windows 10 および Server 2016 に Credential Guard を実装する。Windows Server 2012R2では、Local Security Authority (LSA) の Protected Process Light を有効にする
  • AD の攻撃対象面を最小化するために、悪意のチケット付与活動を減らす。Kerberoasting のような悪意のある活動は、Kerberos のチケット付与サービスを利用し、攻撃者がクラックしようとするハッシュ化された認証情報を、取得するために使用される可能性がある。

    BlackMatter の脅威は、今日のランサムウェアの中でもトップレベルである。BlackMatter は、5月に Colonial Pipeline を攻撃した、ランサムウェア・ギャング DarkSide の後継とされている。この脅威アクターは、暗号化する前の段階で被害者からデータを盗み出し、身代金を得られない限り、そのファイルを自身のリークサイトで公開する。現在、彼らのサイトには、身代金を支払わなかった被害者 (衣料品/飲料/ソフトウェア/投資/技術 など) が掲載されており、その多くは米国に拠点を置いている。最近では、ビジネス・ソフトウェア・ソリューション・プロバイダーである Marketron や、米国の農協である NEW Cooperative、テクノロジー大手の Olympus などが侵入されている。

7月の終わりに、「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」をポストしましたが、文中にもあるように DarkSide の後継ということで、間違いないようです。その後、Revil の方は活動停止に追い込まれたようですが、BlackMatter の方はというと、Olympus や、Marketron、そして、イスラエルの Hillel Yaffe Medical Center などを標的にして、活発に動き続けています。

%d bloggers like this: