BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?

BlackCat Ransomware Targets Industrial Companies

2022/04/07 SecurityWeek — BlackCat/ALPHV/Noberus として追跡されているランサムウェア・グループが使用するデータ窃取ツールを分析すると、このサイバー犯罪者が製造業ををターゲットにすることに、強い関心を持っていることが示唆される。2021年11月に BlackCat は 出現し、Ransomware-as-a-Service (RaaS) モデルを利用することで、米国などの組織を標的にしてきた。

複数のサイバーセキュリティ企業が、BlackCat/BlackMatter/DarkSide における、ランサムウェア運用に関連性を見出している。そして BlackCat チームは、BlackMatter の再ブランド化ではなく、BlackMatter を含む多様な RaaS グループにより構成されているようだ。

木曜日に公開されたブログ記事で Kaspersky は、BlackMatter と BlackCat のつながりについて、Fendr と ExMatterと呼ばれるデータ流出ツールに焦点を当て、詳細な情報を提供している。昨年に、Symantec は Fendr について、BlackMatter のオペレーターが侵害したシステムから、価値のあるデータを用意に盗み出すための、カスタム・データ流出ツールであると説明していた。

このツールは、以前は BlackMatter 攻撃だけに見られたものであり、ファイルを暗号化するペイロードが展開される前に、特定の種類のファイルを収集し、サイバー犯罪者のサーバにアップロードするよう設計されている。そして、盗まれたデータは、被害者に支払いを迫るために使用される。

最近の、南米における石油/ガス/鉱山/建設などに対する BlackCat 攻撃では、ハッカーは Fendr ツールを展開している。しかし、BlackMatter 攻撃で発見されたツールと比較すると、この新しい攻撃では、いくつかの追加のファイル・タイプがターゲットになっている。さらに言えば、製造業などで用いられるファイル・タイプが、ターゲットになっているという。

BlackCat ransomware tool steals industrial files


Kaspersky は、「これらの追加されたファイル拡張子は、CAD 図面/特殊なデータベース/RDP 設定などの、工業デザイン・アプリケーションで使用されるものだ。このグループが標的としている工業環境向けに、よりカスタマイズされたツールとなっている」と説明している。

ランサムウェア・ギャングたちが、製造業などに関心を寄せているという事実は驚くべきものではなく、各国の政府もサイバー・セキュリティ企業も、ランサムウェアが産業界のシステムに対する脅威を増大させていると警告を発している。

産業用サイバー・セキュリティ企業である Claroty は、2022年2月に発表したレポートの中で、ランサムウェアは頻繁に ICS や OT などの環境を襲い、影響が大きくなる場合が多いと述べている。

こうしたインフラ分野を狙うランサムウェア攻撃が増えているようです。また、このところ、よく目にする BlackCat は、CAD 図面や特殊なデータベースなどのファイル拡張子を、フィルタリングしているとのことです。関連する情報としては、2022年3月24日の「Delta Electronics 電力管理システムに深刻な脆弱性:ICS などにも影響が生じる?」や、3月25日の「エネルギー分野への攻撃:米政府がロシアの国家支援ハッカーを起訴」などがあります。よろしければ、カテゴリ ICS もご参照ください。

%d bloggers like this: