BlackCat Ransomware Gang Targets Businesses Via Google Ads
2023/11/15 InfoSecurity — 悪名高い ALPHV/BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。
これまでの3週間で発生した、 ALPHV/BlackCat のアフィリエイトによる法律事務所/製造業者/倉庫プロバイダーへの侵入を阻止したと、eSentire がアドバイザリで述べている。
ALPHV/BlackCat は、Revil/DarkSide/BlackMatter のような経験豊富なランサムウェア・オペレーターから発展した、専門的な役割を持つサイバー犯罪経済のひとつである。ALPHV/BlackCat をサポートするアフィリエイトには、FIN7/UNC2565/Scattered Spider などが含まれる。
eSentire が観測した新たな手口は、Advanced IP Scanner/Slack などの人気のソフトウェアを宣伝する Google 広告を介して、攻撃者が管理する悪意の Web サイトへと、ビジネス関係者を誘導するものだ。
ターゲットとなるユーザーは、正規のソフトウェアをダウンロードしているつもりで、知らず知らずのうちに Nitrogen マルウェアをインストールしてしまう。Nitrogen とは、標的組織の IT 環境への足がかりを、侵入者に提供するイニシャル・アクセス用マルウェアとして機能するものだ。このアクセスが確立されると、被害者は ALPHV/BlackCat ランサムウェアに感染してしまう。
TRU の Senior Threat Intelligence Researcher である Keegan Keplinger は、「Nitrogen マルウェアは、難読化された Python ライブラリを利用し、Windows 実行ファイルにコンパイルされる。これらのライブラリは、Python コードの最適化など、合法的な用途には有用だが、侵入ツールをメモリに直接ロードする悪意のマルウェア・ローダーの開発にも利用されている」と説明する。
さらに Keplinger は、「一般のユーザーが、ブラウジング中に無意識のうちにマルウェアをダウンロードしてしまう。その背景にあるトレンドは、ブラウザ・ベースのサイバー脅威の台頭である。電子メールの添付ファイルだけでなく、ブラウザ・ベースのダウンロードの脅威の高まりに対応するために、ユーザーの意識向上トレーニングが必要である」と述べている。
eSentire のアドバイザリでユーザー組織に推奨されるのは、エンドポイント監視の強化/エンドポイント監視をサポートしていないシステム・ログのキャプチャ/ブラウザ・ベースの攻撃を軽減するための攻撃面積の削減ルールの適用などである。
ALPHV/BlackCat グループの起源をたどり、ランサムウェア・グループとのつながりを分析すると、そして、MGM Resorts/McClaren Health Care/Clarion/Motel One などへの際立つ攻撃を考えると、サイバー・セキュリティ対策を迅速に強化すべき理由が見えてくる。
Google 検索結果に表示される広告ですが、これまでにもマルウェアに気をつけるべきという警告がありました。そこに、ALPHV/BlackCat も参入してくるようで、さらに被害が拡大する可能性が示唆されます。よろしければ、Google Ads で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.