Blackcat ランサムウェアとは何ですか?また、それに対する防御方法は何ですか?

サイバー攻撃とは、既存の脆弱性を利用してコンピュータ システムまたはネットワークに不正にアクセスしようとする意図的かつ悪意のある試みです。これは機密情報を盗み、通常の業務を妨害するために行われる可能性があります。

最近、ランサムウェアはサイバー犯罪者にとって頼りになるサイバー攻撃ツールとなっています。ランサムウェアは通常、フィッシングメール、ドライブバイダウンロード、海賊版ソフトウェア、リモート デスク プロトコルなどを通じて拡散します。

コンピュータがランサムウェアに感染すると、ランサムウェアはコンピュータ内の重要なファイルを暗号化します。その後、ハッカーは暗号化されたデータを復元するために身代金を要求します。

サイバー攻撃は、国の国家安全保障を侵害し、経済の主要部門の業務を妨害し、甚大な損害と深刻な経済的損失を引き起こす可能性があります。これはまさに、WannaCry ランサムウェア サイバー攻撃で起こったことです。

2017 年 5 月 12 日、北朝鮮から発生したと考えられる WannaCry と呼ばれるランサムウェアが世界中に拡散し、2 日以内に 150 か国以上の 200,000 台以上のコンピュータ システムに感染しました。 WannaCry は、Windows オペレーティング システムを実行しているコンピュータ システムを標的にしていました。これは、オペレーティング システムのサーバー メッセージ ブロック プロトコルの脆弱性を悪用しました。

この攻撃の最大の被害者の1つは英国国民保健サービス(NHS)であった。コンピューター、劇場、診断機器、MRI スキャナーなど、70,000 台を超えるデバイスが感染しました。医師は患者の治療に必要なシステムや患者記録にアクセスできませんでした。この攻撃により、NHS は 1 億ドル 近い損害を被りました。

それがどれほどひどいことになるかです。しかし、特に BlackCat のような新しくてより危険なランサムウェアの場合、状況はさらに悪化する可能性があり、被害者でいっぱいの道が残されています。

BlackCat ランサムウェア

開発者によって ALPHV と呼ばれる BlackCat ランサムウェアは、システムに感染すると、影響を受けたシステム内のデータを抽出して暗号化する悪意のあるソフトウェアです。漏洩には、システムに保存されているデータのコピーと転送が含まれます。 BlackCat が重要なデータを抽出して暗号化すると、暗号通貨での身代金の要求が行われます。 BlackCat の被害者は、データへのアクセスを取り戻すために、要求された身代金を支払う必要があります。

BlackCat は普通のランサムウェアではありません。 BlackCat は、通常 C、C++、C#、Java、または Python で記述される他のランサムウェアとは異なり、Rust で記述されて成功した最初のランサムウェアです。さらに、BlackCat は、攻撃によって盗まれた情報を漏洩する Web サイトをクリアウェブ上に持つ最初のランサムウェア ファミリでもありました。

他のランサムウェアとのもう 1 つの重要な違いは、BlackCat がサービスとしてのランサムウェア (RaaS) として動作することです。 Raas は、ランサムウェア作成者がサービスとしてランサムウェアを他の個人やグループにレンタルまたは販売するサイバー犯罪ビジネス モデルです。

このモデルでは、ランサムウェア作成者は、他の人がランサムウェア攻撃を配布して実行するために必要なツールとインフラストラクチャをすべて提供します。これは、ランサムウェアの支払いから得た利益の一部と引き換えです。

これは、BlackCat が主に組織や企業をターゲットにする理由の説明になります。組織や企業は通常、個人に比べて身代金の支払いに積極的であるためです。また、組織や企業は個人に比べて高額の身代金を支払います。サイバー攻撃における人間の指導と意思決定は、サイバー脅威アクター (CTA) として知られています。

被害者に身代金の支払いを強制するために、BlackCat は「三重恐喝テクニック」を使用します。これには、被害者のデータをコピーして転送し、システム上のデータを暗号化することが含まれます。その後、被害者は暗号化されたデータにアクセスするために身代金の支払いを求められます。これを怠ると、データが公衆に漏洩したり、システムに対してサービス拒否 (DOS) 攻撃が開始されたりする結果になります。

最後に、データ漏洩の影響を受ける人に連絡があり、データが漏洩することが通知されます。これらは通常、顧客、従業員、およびその他の会社関連会社です。これは、データ漏洩による評判の低下や訴訟を避けるために、被害者の組織に身代金の支払いを圧力をかけるために行われます。

BlackCat ランサムウェアの仕組み

FBI が発表した速報によると、BlackCat ランサムウェアは、以前に侵害されたユーザーの資格情報を使用してシステムにアクセスします。

BlackCat は、システムへの侵入に成功すると、そのアクセス権を使用して、Active Directory に保存されているユーザーおよび管理者のアカウントを侵害します。これにより、Windows タスク スケジューラを使用して悪意のあるグループ ポリシー オブジェクト (GPO) を構成し、BlackCat がランサムウェアを展開してシステム内のファイルを暗号化できるようになります。

BlackCat 攻撃中は、PowerShell スクリプトが Cobalt Strike とともに使用され、被害者のネットワークのセキュリティ機能が無効になります。その後、BlackCat は被害者のデータをクラウド プロバイダーなどの保存場所から盗みます。これが完了すると、攻撃を主導するサイバー脅威攻撃者は BlackCat ランサムウェアを展開し、被害者のシステム内のデータを暗号化します。

その後、被害者は、システムが攻撃を受け、重要なファイルが暗号化されたことを知らせる身代金メモを受け取ります。身代金には、身代金の支払い方法に関する指示も含まれています。

BlackCat が平均的なランサムウェアよりも危険なのはなぜですか?

BlackCat は、次のようなさまざまな理由から、平均的なランサムウェアと比較して危険です。

Rustで書かれています

Rust は、高速かつ安全で、パフォーマンスの向上と効率的なメモリ管理を提供するプログラミング言語です。 Rust を使用することで、BlackCat はこれらすべての利点を享受し、高速暗号化を備えた非常に複雑で効率的なランサムウェアとなります。また、BlackCat のリバース エンジニアリングも困難になります。 Rust はクロスプラットフォーム言語であり、攻撃者が Windows や Linux などのさまざまなオペレーティング システムをターゲットにするように BlackCat を簡単にカスタマイズできるため、潜在的な被害者の範囲が広がります。

RaaS ビジネスモデルを採用しています

BlackCat ではサービス モデルとしてランサムウェアを使用しているため、多くの攻撃者は作成方法を知らなくても複雑なランサムウェアを展開できます。 BlackCat は、攻撃者にとって面倒な作業をすべて行います。攻撃者は、脆弱なシステムに BlackCat を導入するだけで済みます。これにより、脆弱なシステムを悪用しようとする攻撃者にとって、高度なランサムウェア攻撃が容易になります。

アフィリエイトに巨額の報酬を提供する

BlackCat は Raas モデルを採用しており、作成者は、それを展開する脅威アクターに支払われる身代金から一部を受け取ることで収益を上げています。他の Raas ファミリが、脅威アクターの身代金の最大 30% を受け取るのとは異なり、BlackCat では、脅威アクターが支払った身代金の 80% ～ 90% を保持することができます。これにより、脅威アクターに対する BlackCat の魅力が高まり、BlackCat をサイバー攻撃に導入する意欲のある関連会社をさらに増やすことができます。

クリアウェブ上に公開リークサイトがある

ダークウェブ上で盗んだ情報を漏洩する他のランサムウェアとは異なり、BlackCat はクリアなウェブ上でアクセス可能な Web サイト上で盗んだ情報を漏洩します。盗まれたデータが平文で漏洩すると、より多くの人がデータにアクセスできるようになり、サイバー攻撃の影響が増大し、被害者に身代金の支払いを求める圧力がさらに高まります。

Rust プログラミング言語により、BlackCat は攻撃において非常に効果的になりました。 Raas モデルを使用し、巨額の報酬を提供することで、BlackCat は、攻撃に導入する可能性がより高い、より多くの脅威アクターにアピールします。

BlackCat ランサムウェア感染チェーン

BlackCat は、侵害された認証情報を使用するか、Microsoft Exchange Server の脆弱性を悪用して、システムへの最初のアクセスを取得します。悪意のある攻撃者は、システムにアクセスした後、システムのセキュリティ防御を破壊し、被害者のネットワークに関する情報を収集し、権限を昇格させます。

その後、BlackCat ランサムウェアはネットワーク内を横方向に移動し、できるだけ多くのシステムにアクセスします。これは身代金要求の際に役立ちます。攻撃を受けるシステムが増えるほど、被害者が身代金を支払う可能性が高くなります。

その後、悪意のある攻撃者がシステムのデータを窃取し、それが恐喝に使用されます。重要なデータが抽出されると、BlackCat ペイロードが配信される準備が整います。

悪意のある攻撃者は Rust を使用して BlackCat を配信します。 BlackCat はまず、バックアップ、ウイルス対策アプリケーション、Windows インターネット サービス、仮想マシンなどのサービスを停止します。これが完了すると、BlackCat はシステム内のファイルを暗号化し、システムの背景画像を改ざんして身代金メモに置き換えます。

BlackCat ランサムウェアから保護する

BlackCat は、これまでに目撃された他のランサムウェアよりも危険であることが証明されていますが、組織はさまざまな方法でランサムウェアから身を守ることができます。

重要なデータを暗号化する

Blackhat の恐喝戦略の一部には、被害者のデータを漏らすと脅すことが含まれています。重要なデータを暗号化することで、組織はデータに保護層を追加し、BlackHat の脅威アクターが使用する恐喝手法を機能不全に陥らせます。たとえ漏洩したとしても、人間が読める形式ではありません。

システムを定期的に更新する

Microsoft が行った調査では、場合によっては、BlackCat がパッチを適用していない Exchange サーバーを悪用して組織のシステムにアクセスしたことが明らかになりました。ソフトウェア会社は、システム内で発見された可能性のある脆弱性やセキュリティの問題に対処するために、定期的にソフトウェア アップデートをリリースします。安全のため、ソフトウェア パッチが入手できたらすぐにインストールしてください。

データを安全な場所にバックアップする

組織は、データを定期的にバックアップし、別の安全なオフラインの場所にデータを保存することを優先する必要があります。これは、重要なデータが暗号化されている場合でも、既存のバックアップから確実に復元できるようにするためです。

多要素認証を実装する

システムで強力なパスワードを使用することに加えて、システムへのアクセスが許可される前に複数の資格情報を必要とする多要素認証を実装します。これは、システムへのアクセスに必要な、リンクされた電話番号または電子メールに送信されるワンタイム パスワードを生成するようにシステムを構成することで実行できます。

ネットワーク上のアクティビティとシステム内のファイルを監視します

組織は、ネットワーク上の疑わしいアクティビティをできるだけ早く検出して対応するために、ネットワーク上のアクティビティを常に監視する必要があります。ネットワーク上のアクティビティもログに記録し、セキュリティ専門家によってレビューされ、潜在的な脅威を特定する必要があります。最後に、システム内のファイルがどのようにアクセスされ、誰がアクセスし、どのように使用されるかを追跡するシステムを導入する必要があります。

重要なデータを暗号化し、システムを最新の状態に保ち、データを定期的にバックアップし、多要素認証を実装し、システム内のアクティビティを監視することによって。組織は一歩先を行って、BlackCat による攻撃を防ぐことができます。

学習リソース: ランサムウェア

サイバー攻撃と、BlackCat などのランサムウェアからの攻撃から身を守る方法について詳しく学ぶには、これらのコースのいずれかを受講するか、以下で推奨される書籍を読むことをお勧めします。

#1. セキュリティ意識向上トレーニング

これは、インターネット上での安全性に関心があるすべての人にとって素晴らしい コース です。このコースは、認定情​​報システム セキュリティ プロフェッショナル (CISSP) である Michael Biocchi 博士によって提供されます。

このコースでは、フィッシング、ソーシャル エンジニアリング、データ漏洩、パスワード、セーフ ブラウジング、個人用デバイスを取り上げ、オンラインで安全に過ごす方法に関する一般的なヒントを提供します。コースは定期的に更新されるため、インターネットを使用するすべての人がその恩恵を受けることができます。

#2. セキュリティ意識向上トレーニング、従業員向けのインターネット セキュリティ

この コース は日常のインターネット ユーザーを対象としており、人々が気づいていないことが多いセキュリティの脅威と、その脅威から身を守る方法について教育することを目的としています。

CISSP 認定情報セキュリティ専門家である Roy Davis が提供するコースでは、ユーザーとデバイスの責任、フィッシングやその他の悪意のある電子メール、ソーシャル エンジニアリング、データ処理、パスワードとセキュリティの質問、セーフ ブラウジング、モバイル デバイス、ランサムウェアが取り上げられます。コースを完了すると、ほとんどの職場でデータ規制ポリシーに準拠するのに十分な修了証明書が発行されます。

#3. サイバーセキュリティ: まったくの初心者向けの意識向上トレーニング

これは、トレーニングおよび認定資格のスタートアップである Logix Academy の Usman Ashraf が提供する Udemy コース です。ウスマンはCISSP認定を受けており、博士号を取得しています。コンピュータネットワークと多くの業界および教育経験を持っています。

このコースでは、学習者にソーシャル エンジニアリング、パスワード、安全なデータ処分、仮想プライベート ネットワーク (VPN)、マルウェア、ランサムウェア、安全なブラウジングのヒントを深く掘り下げ、個人を追跡するために Cookie がどのように使用されるかを説明します。コースはノンテクニカルです。

#4. ランサムウェアが明らかに

これは、独立した情報セキュリティ コンサルタントであり、サイバー セキュリティとデジタル フォレンジックの専門家である Nihad A. Hassan による本です。この本では、ランサムウェア攻撃を軽減して対処する方法を説明し、存在するさまざまな種類のランサムウェア、その配布戦略、回復方法について詳しく読者に説明します。

この本では、ランサムウェアに感染した場合の手順についても説明しています。これには、身代金の支払い方法、影響を受けるファイルのバックアップと復元の方法、感染ファイルを復号化するための復号ツールをオンラインで検索する方法が含まれます。また、ランサムウェアの被害を最小限に抑え、通常の業務を迅速に回復するために、組織がランサムウェア インシデント対応計画を策定する方法についても説明します。

#5. ランサムウェア: わかりました。防ぐ。回復する

この本では、Recorded Future のシニア セキュリティ アーキテクトでありランサムウェア スペシャリストである Allan Liska が、ランサムウェアに関するすべての難しい質問に答えます。

製品が見つかりませんでした。

この本では、ランサムウェアが近年蔓延した理由の歴史的背景、ランサムウェア攻撃を阻止する方法、悪意のある攻撃者がランサムウェアを使用して狙う脆弱性、およびランサムウェア攻撃から最小限の被害で生き残るためのガイドを提供します。さらに、この本は、身代金を支払うべきか?という非常に重要な質問にも答えています。この本では、ランサムウェアについての刺激的な探求を提供します。

#6. ランサムウェア保護ハンドブック

ランサムウェアに対する武装を検討している個人または組織にとって、この本は必読です。この本では、コンピューター セキュリティと侵入の専門家であるロジャー A. グライムスが、人々や組織がランサムウェアから身を守るのを支援するために、その分野での豊富な経験と知識を提供しています。

この本は、ランサムウェアに対する堅牢な防御を構築しようとしている組織に実用的な青写真を提供します。また、攻撃を検出し、被害を迅速に制限し、身代金を支払うかどうかを決定する方法についても説明します。また、組織が深刻なセキュリティ侵害によって引き起こされる評判や経済的損害を制限するのに役立つ戦略も提供します。

最後に、ビジネスや日常生活への混乱を軽減するために、サイバーセキュリティ保険と法的保護のための安全な基盤を構築する方法を説明します。

著者のメモ

BlackCat は、サイバー セキュリティの現状を変えることになる革新的なランサムウェアです。 2022 年 3 月の時点で、BlackCat は 60 以上の組織への攻撃に成功し、FBI の注目を集めることに成功しました。 BlackCat は深刻な脅威であり、どの組織もそれを無視することはできません。

BlackCat は、最新のプログラミング言語と型破りな攻撃、暗号化、身代金強要の手法を採用することで、セキュリティ専門家に後追いを任せています。ただし、このランサムウェアとの戦いに負けたわけではありません。

この記事で取り上げた戦略を実装し、人的ミスによってコンピュータ システムが危険にさらされる機会を最小限に抑えることで、組織は一歩先を進み、BlackCat ランサムウェアによる壊滅的な攻撃を防ぐことができます。