BlackCat RaaS について FBI が警告:全世界で 60の組織が侵害されている

BlackCat Ransomware gang breached over 60 orgs worldwide

2022/04/22 SecurityAffairs — 米国連邦捜査局 (FBI) は、2021年11月に活動を開始した BlackCat ランサムウェア (別名:ALPHV/Noberus) により、少なくとも全世界で 60 の事業体が侵害されたとする Flash Report を公開した。同組織はアドバイザリで、世界中で少なくとも 60 の事業体に侵入した Ransomware-as-a-Service である、BlackCat/ALPHV などによる攻撃に関連する、主要な Indicators Of Compromise (IOCs) を Flash Report で発表した。ユーザーおよび管理者が、FBI Flash CU-000167-MW の IOC と技術的な詳細を確認し、推奨される緩和策を適用することを推奨していると 、CISA は述べている。

このギャングの被害者リストには、Moncler/Swissport/Inetum などが含まれている。

2021年12月に BlackCat/ALPHV ランサムウェアを発見したのは、Recorded Future と MalwareHunterTeam のマルウェア研究者たちである。このマルウェアは、初めてプログラミング言語 Rust で書かれた、プロフェッショナルなランサムウェア株である。BlackCat は、Windows/Linux/VMWare ESXi システムをターゲットにしているが、現時点では被害者の数は限られている。マルウェア研究者である Michael Gillespie は、「BlackCat ランサムウェアは非常に洗練されている」と述べている。

Recorded Future の専門家たちは、ALPHV とも呼ばれる BlackCat ランサムウェアの作者は、以前に REvil ランサムウェアの運用に関与していたと推測している。いくつかのアラートによると、このギャングにおける開発やマネーロンダリングの手法は、Darkside/BlackMatter の運営に関連しているようだ。

2021年12月初旬から、サイバー犯罪フォーラム XSS and Exploit で、ALPHV による BlackCat Ransomware-as-a-Service (RaaS) は宣伝されている。他のランサムウェア・グループと同様に、このギャングも二重の恐喝モデルを実装しており、被害者が支払わない場合には、盗み出したデータを漏洩すると脅している。

ALPHV は、最終的な身代金の金額の 80%〜90% を提供するという条件で、そのオペレーションごとにアフィリエイトを募集している。この BlackCat オペレーションにより、現時点で被害にあっているのは、米国/オーストラリア/インドなどの少数の組織のみである。身代金の要求額は、最大で $3M 相当の Bitcoin/Monero である。

FBI のアラートには、2022年2月中旬の時点における、BlackCat/ALPHV に関連するIoC (Indicators Of Compromise) が含まれている。そして同組織は、BlackCat ランサムウェアの運用に関連する、共有可能なあらゆる情報を求めている。

このアラートでは、以下の緩和策が推奨されている。

  • ドメインコントローラ/サーバー/ワークステーション/アクティブなディレクトリ上で、新規あるいは未認証のユーザー・アカウントの有無を確認する。
  • 定期的にデータをバックアップし、エアギャップを作り、オフラインのバックアップ・コピーをパスワードで保護する。重要なデータのコピーが、対象システムから分離され、変更/削除されないことを確認する。
  • タスク・スケジューラー上で、不審なスケジュール・タスクの有無を確認する。さらに、OS 上で定義/認識されているスケジュール・タスクを手動で確認する (例:各スケジュールタ・スクが実行する予定のステップを確認する)。
  • アンチウィルス・ログを確認し、想定外の無効化の形跡を確認する。
  • ネットワークのセグメンテーションを実施する。
  • ソフトウェアのインストールに管理者権限を要求する。
  • 機密/専有データおよびサーバーの複数のコピーを、物理的に分離された安全な場所 (ハードドライブ/ストレージデバイス/クラウドなど) に維持/保持するための復旧計画を実施する。
  • OS/ソフトウェア/ファームウェアのアップデートやパッチがリリースされた場合には、直ちにインストールする。
  • 可能な限り、多要素認証を使用する。
  • ネットワーク・システムやユーザー・アカウントのパスワードを定期的に変更し、別アカウントでのパスワードの再利用を避ける。
  • パスワード変更のための最短許容時間枠を導入する。
  • 未使用のリモート・アクセス・ポート (RDP など) を無効化し、リモート・アクセス・ログを監視する。
  • 管理者権限のあるユーザー・アカウントを監査し、最小限の権限を考慮したアクセス制御を設定する。
  • すべてのホストにアンチ・ウイルス/アンチ・マルウェアをインストールし、定期的に更新する。
  • 安全なネットワークのみを使用し、公共の Wi-Fi ネットワークの使用は避ける。VPN の導入/利用を検討する。
  • 社外から受信するメールには、メール・バナーを付けることを検討する。
  • 受信したメールに含まれるハイパーリンクを無効にする。

このブログに BlackCat が初めて登場したのは、2022年2月1日の「ドイツ大手石油貯蔵会社の Ooltanking を BlackCat ランサムウェアが攻撃」で、2回目は 4月7日の「BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?」でした。タイトルにあるように、どちらもインフラを狙うものであり、FBI が注目するのも当然という感じです。また、専門家のコメントも、BlackCat の洗練度を指摘し、Rust で書かれていることにも注目しています。3月7日に「Hive が Linux VMware ESXi 暗号化ツールを Rust に移植:解析と分析が困難に」という記事をポストしていますので、よろしければ、ご参照ください。