ランサムウェア
ランサムウェアスポットライト: BlackByte
BlackByteは、2021年からその名を轟かせているランサムウェアグループです。同時期の攻撃グループと同様、このランサムウェアの攻撃者も、より高い確率で身代金の支払いを得るために重要インフラを担う企業や組織を標的としています。
BlackByteは、2021年からその名を轟かせているランサムウェアグループです。同時期の攻撃グループと同様、このランサムウェアの攻撃者も、より高い確率で身代金の支払いを得るために重要インフラを担う企業や組織を標的としています。具体的にはどのような手口を駆使していたのでしょうか。
BlackByteは2021年7月に登場し、その年の活動では、米国連邦捜査局(FBI)や米国シークレットサービス(USS)の注目を集めました。この2つの政府機関の共同勧告によると、BlackByteは、2021年11月までにすでに少なくとも米国の重要インフラ3部門(政府施設、金融、食品・農業)を狙っていたと伝えていました。
この勧告は、BlackByteが新たに注目すべきランサムウェアとしていかに活動的であるかを示しています。2021年10月、セキュリティ企業TrustwaveはBlackByte用のデクリプターを一般公開しました。しかし、これでもBlackByteの勢いは収まらず、複数のキーを使用する新しいバージョンをリリースして活動を強化し、さらにウェブサイト上で被害者に対して利用可能な復号ツールを無闇に使用しないよう警告するほど、このランサムウェアは巧妙化していました。
また、BlackByteの出現は、より大きな攻撃計画の一部である可能性があります。Contiが活動を停止したと言われている中、セキュリティ企業AdvIntelのリサーチャーは、BlackByteがContiの後継となる主要な亜種の1つであると推測しています。
現在、BlackByteは世界中の企業や組織をターゲットにして活動を続けています。一方、LockBit、RansomEXX、その他の多くのランサムウェアファミリと同様、ロシアを拠点とする企業や組織への攻撃を避けている点は特筆されます。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Infographic.jpg)
企業や組織が知っておくべきこと
BlackByteの攻撃者は、自分たちの攻撃でランサムウェアを使用する一方で、アフィリエイトとしてサービスとしてのランサムウェア(RaaS)のビジネスモデルも運営しています。BlackByteの主要な特徴は以下になります。
初期のバージョンでは、共通鍵を使用していた:BlackByteの初期のバージョンでは、各攻撃キャンペーンで共通鍵を使用して対象のファイルを暗号化していました。また、共通鍵暗号アルゴリズムであるAESも使用していました。このため、セキュリティリサーチャーは、BlackByteの被害者を助けるためにデクリプターを作成しました。しかしその結果、攻撃グループは、より新しいバージョンで暗号化方式を変更せざるを得なくなりました。
複数のバージョンが存在する:BlackByteの最初のバージョンは、C#言語で書かれていました。その後、攻撃者は、Go言語による2つのバージョンをリリースしました。Go言語による新しいバージョンは、2022年2月頃に登場し、特に暗号化アルゴリズムに変更が加えられています。
WinRARで対象のファイルをアーカイブする:BlackByteの攻撃キャンペーンでは、ランサムウェア攻撃の展開前に情報送出の活動が行われます。この場合、情報を直接送出するのではなく、まずWinRAR で対象のファイルをアーカイブした上で、そのファイルを共有サイトにアップロードするという手順が採られています。
トロイの木馬化された正規ツールを使用する:最近の他のランサムウェアファミリと同様、BlackByteも環境寄生型の攻撃を駆使しています。この場合、正規のリモートツールAnyDeskを使用して、標的のシステムをさらに制御することで、水平移動・内部活動を実行します。
フィッシングメールやProxyShellの既知の脆弱性を利用して侵入する:BlackByteは、フィッシングメールや、Microsoft Exchange Serverの脆弱性ProxyShellを悪用することで、対象のシステムに侵入することで知られています。
BlackByteによる攻撃の軌跡からは、継続的な活動をうかがうことができます。実際、2022年5月に中南米の政府に狙いを定めたランサムウェア攻撃でもBlackByteの存在が報告されていました。この状況は、トレンドマイクロのテレメトリデータにも反映されています。
影響を受けた主な産業と国
下記のSPNデータは、BlackByteの活動における検出台数を表しています。データによると2021年10月から2022年3月まで一貫した活動状況を示していましたが、2022年5月に急激に増加しています。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-1.jpg)
SPNデータによると、2021年4月30日から2022年5月31日まで全世界でBlackByteの活動が検出されています。そして5月に急増した後、ペルーが他国を上回る検出台数を記録しました。これは、南米で報告されたランサムウェア攻撃の状況と一致しており、同地域を標的とする攻撃グループがBlackByteを使用していたことを意味しています。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-2.jpg)
業界別ランキングでは、2022年4月末までテクノロジーでの検出台数が最も多く、5月に入り、公共での検出台数も急増しました。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-3.jpg)
これらの急激な増加は、多数の端末に影響を与えた単一の攻撃から生じた可能性も考えられます。南米を標的とする攻撃グループの他、同時期、別の攻撃グループによりペルーの政府機関を侵害したという彼ら自身の主張も要因の1つと考えられるでしょう。
BlackByteのリークサイトに基づく対象地域や業界
これらの検出結果に加え、BlackByteのリークサイトを調査し、そこに記録されている攻撃件数も確認しました。2021年8月1日から2022年5月31日までの情報を調べた結果、BlackByteの被害者は、ほとんどが小規模な企業であることがわかりました。また、攻撃活動のピークは2021年11月でした。
リークサイトには、南米の政府機関に対する集中攻撃がまだ反映されていませんでした。地域ごとの攻撃の分布は、代わりに北米とヨーロッパに拠点を置く団体をターゲットにする傾向があることを示していました。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-4.jpg)
リークサイトの情報によると、BlackByteの攻撃グループや利用者は、まだ特定の業界に顕著な関心を示していないようです。業界を問わず、以下の業界に比較的均等に攻撃が行われています。
- 建設
- 材料
- ヘルスケア
- 小売
- 運輸
- エネルギー・公益事業
- 製造業
- 専門サービス
- 自動車
- コミュニティ
- 食料・生活必需品
- 不動産
- 官公庁
- IT
- 法務サービス
- メディア・エンターテイメント
BlackByteのリークサイトの情報に基づき、他のランサムウェアファミリと比較すると、2022年1月1日から2022年5月31日まで、BlackByteは被害が報告された件数が最も多いトップ10のランサムウェアグループに入っていることがわかります。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-5.jpg)
これらの情報からは、BlackByteの活動がその名を知られ始め、なおかつ勢いを増していることがうかがえます。以下、その活動詳細や攻撃手法を説明します。
感染フローおよび各種手口
BlackByteは、RaaSモデルを採用しているため、その感染フローはターゲットによって異なる可能性があります。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-6.jpg)
初期侵入
- BlackByteは、脆弱性ProxyShellを悪用することで対象のシステムに侵入します。また、脆弱性のあるサーバを悪用することで対象システムへのWebシェルも作成します。これは、Certutilによって商用ペネトレーションテストツールであるCobalt StrikeのコンポーネントであるCobeacon(リモートアクセスツール)のダウンロードや作成のために使用されます。
- 対象のシステムに最初にアクセスした後、Certutilにより、ネットワーク上に拡散するために必要なコンポーネントをダウンロードして実行します。
- コンポーネントは、Cobeaconの展開後、BlackByteランサムウェアを実行する際に使用されます。
事前調査および水平移動・内部活動
- トレンドマイクロのデータによると、攻撃者は、ネットワークを特定するツールとしてNetScanを使用し、対象のネットワーク環境を十分に把握していました。
- ネットワークへの事前調査の後、攻撃者は、AnyDeskを導入することで、対象のシステムに対する制御レベルをさらに向上させました。そして目的達成まで、CobeaconおよびAnyDeskによる調査と展開のプロセスを繰り返します。
- BlackByteの実行中、セキュリティソフトに関連する特定のプロセスやサービスを終了させ、検知を回避します。
情報送出
- 攻撃者は、対象のネットワークを把握して貴重なファイルを特定した後、WinRarを使用してファイルをアーカイブし、anonymfiles[.]comやfile[.]ioなどのファイル共有サイトにアップロードすることで情報を送出させます。
被害規模
- ランサムウェアが実行されると、検出を回避するために、セキュリティソフトに関連する特定のサービスやプロセスを終了させます。また、C&Cサーバに接続し、暗号化に重要な情報を含む特定のPNGファイルを探索します。特定されたファイルは、AES128キーによって暗号化されます。この鍵は、埋め込まれたRSA鍵で保護されており、秘密鍵がないと復号できません。その後、vssadminによって感染端末上のシャドウコピーが削除されます。
/ransomware-spotlight-blackbyte/JP-RS-BlackByte-Fig-7.jpg)
- 初期侵入
- ProxyShell
- China Chopper web shell
- 不正活動の実行
- Certutil
- Cobeacon
- 事前調査
- NetScan
- 水平移動・内部活動
- AnyDesk
- Cobeacon
- 情報収集
- WinRAR
- 情報送出
- 以下のC&Cサーバへ情報送出する
- anonymfiles[.]com file[.]io
推奨事項
企業や組織は、既知の悪名高いランサムウェアファミリと新たなファミリの双方からの脅威に直面しています。多くの新たなランサムウェアファミリと同様、BlackByteも、これまでの大物ランサムウェアの座を奪うべく準備を進めています。そしてその背景には、新たな名称のもとに活動範囲を広げる多くの攻撃グループがより複雑な構図で存在している可能性があります。
今回紹介したBlackByteのケースなど、これらのランサムウェアファミリの顕著な手口を理解し、より大きな脅威の傾向を把握することは、ランサムウェア攻撃に対する効果的なセキュリティ戦略を立てる上で有効となります。BlackByteの場合、各従業員がフィッシング攻撃などに注意し、ProxyShellなどの脆弱性に対してセキュリティパッチを常に適用するなど、事前の予防対策に注力することが重要です。
このような脅威からシステムを保護するため、企業や組織は、適切なセキュリティフレームワークを確立することで、ランサムウェアに対する強固な防御を講じるためのリソースを体系的に割り当てることができます。
以下、これらのフレームワークに盛り込むべきベストプラクティスを紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、ウェブ、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動を検出も可能となります。
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
感染の痕跡
本記事の感染の痕跡(IOC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
• 「Ransomware Spotlight: BlackByte」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)