Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている

Microsoft: Exchange servers hacked to deploy BlackCat ransomware

2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。


Microsoft の 365 Defender Threat Intelligence Teamは、「こうした脅威の侵入経路としては、リモートデスクトップ・アプリや漏洩した認証情報などを悪用するのが一般的であるが、この脅威アクターは Exchange サーバーの脆弱性を悪用して、標的ネットワーク・アクセスを取得するというケースに属する」と述べている。

このイニシャル・アクセスに用いられた、Exchange の脆弱性については言及していないが、Microsoft は 2021年3月のセキュリティ・アドバイザリへのリンクを提示し、ProxyLogon 攻撃の調査/軽減に関するガイダンスを示している。

また、今回の事例において Microsoft は、BlackCat ランサムウェアを展開したランサムウェアのアフィリエイトを挙げていないが、現時点においては複数のサイバー犯罪グループが、この Ransomware as a Service (RaaS) オペレーターのアフィリエイトとなり、攻撃に積極的に利用していると述べている。

BlackCat entry via vulnerable Exchange server
Entry via vulnerable Exchange server (Microsoft)

BlackCat ランサムウェアに群がるサイバー犯罪者たち

そのうちの1つであり、FIN12 として追跡されている金銭的な動機を持つサイバー犯罪グループは、これまの医療機関を主として標的にする撃で、Ryuk/Conti/Hive ランサムウェアを展開していることで知られている。

しかし、Mandiant が明らかにしている、FIN12 のオペレーターはデータ窃取のステップをスキップして、2日未満でファイル暗号化ペイロードを、ターゲットのネットワーク全体にドロップするという高速性がウリである。

Microsoft は、「我々は、このグループが 2022年3月から、配布ペイロードリストに BlackCat を追加したことを確認している。彼らの使用するペイロードが、Hive から BlackCat に切り替えられたのは、後者の復号化手法に関する評判によるものと推測される」と述べている。

DEV-0504 として追跡されているアフィリエイト・グループも、BlackCat ランサムウェアを展開している。このグループの通常の手口は、LockBit ギャングが RaaS プログラムの一部としてアフィリエイトに提供している、悪意のツール Stealbit で窃取したデータを流出させることである。2021年12月から DEV-0504 は、BlackMatter/Conti/LockBit 2.0/REvil/Ryuk など、ランサムウェア株も使用している。

Microsoft はユーザー組織に対して、BlackCat ランサムウェアからの攻撃を防御するために、アイデンティティ管理の見直し/ネットワークへの外部からのアクセスの監視/環境内の脆弱な Exchange サーバーのアップデートを急ぐよう助言している。

数百のランサムウェア攻撃で使用される

2022年4月に FBI は Flash Alert で、BlackCat ランサムウェアは 2021年11月〜2022年3月に、少なくとも 60 のグローバル組織の暗号化に使用されていると警告した。その時の FBI は、「BlackCat/ALPHV の開発者や資金洗浄者の多くは、Darkside/Blackmatter とつながっており、彼らがランサムウェア運用の広範なネットワークと経験を持っていることが示唆される」と述べている。

しかし、2021年11月〜2022年6月に 480 以上のサンプルが、ID-Ransomware プラットフォーム上に提出されていることを考慮すると、BlackCat の実際の被害者数はもっと多い可能性が高い。

BlackCat activity
BlackCat activity (ID-Ransomware)

また、FBI は 4月のアラートで、ネットワーク内で BlackCat の活動を検知した管理者やセキュリティ・チームに対し、関連するインシデント情報を地元の FBI Cyber Squad と共有するよう要請している。このランサムウェアを攻撃に使用している、脅威アクターの追跡/特定に有効な情報としては、海外の IP アドレスからのコールバックを示す IP ログ/Bitcoin または Monero のアドレスと取引 ID/脅威者との通信/復号化ファイル/暗号化ファイの良性サンプルなどがあるという。

BlackCat による攻撃に関する記事ですが、これまでに 2022年2月1日の「ドイツ大手石油貯蔵会社の Ooltanking を BlackCat ランサムウェアが攻撃」や、4月7日の「BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?」4月22日の「BlackCat RaaS について FBI が警告:全世界で 60の組織が侵害されている」などが報告されています。Exchange Server との関連性は分かりませんが、その可能性もあるのかもしれませんね。

%d bloggers like this: