ランサムウェア
ランサムウェアスポットライト:BlackCat
ランサムウェア「BlackCat」は、あまり一般的でない手法と高度な恐喝の手口を用いることで知られ、最近、サイバー犯罪者のコミュニティにおいて急速に頭角を現してきました。このランサムウェアを利用する攻撃グループが拡大する中、本稿では、その活動を検証し、企業や組織がこの攻撃グループに対してどのようなセキュリティ対策を講じるべきかについて説明します。
ランサムウェア「BlackCat」は、あまり一般的でない手法と高度な恐喝の手口を用いることで知られ、最近、サイバー犯罪者のコミュニティにおいて急速に頭角を現してきました。このランサムウェアを利用する攻撃グループが拡大する中、本稿では、その活動を検証し、企業や組織がこの攻撃グループに対してどのようなセキュリティ対策を講じるべきかについて説明します。
はじめに
BlackCat(別名:AlphaVM、AlphaV、ALPHV)は、2021年11月中旬にセキュリティ企業MalwareHunterTeamのリサーチャーによって初めて確認され、プログラミング言語Rustで書かれた本格的なランサムウェアとして注目を集めました。この言語を用いることで、攻撃者は、WindowsやLinuxなどの異なるオペレーティングシステム向けにランサムウェアを容易にカスタマイズできるため、幅広い企業や組織の環境へ攻撃を仕掛けることが可能となります。
以来、BlackCatは、著名な標的への連続攻撃の他、サービスとしてのランサムウェア(RaaS)のニーズとして重宝される三重恐喝も展開するなど、頻繁に話題を提供しています。三重恐喝の手口を行使するランサムウェアは、身代金要求の条件として、ファイルを暗号化して人質に取ったり、窃取情報を暴露すると脅したりする二重恐喝だけでなく、第三の恐喝行為として被害者のインフラへ分散型サービス妨害(DDoS)攻撃を仕掛けるという脅しもします。
2022年4月19日に発表された米連邦捜査局(FBI)の報告によると、BlackCatの開発者やマネーロンダリング担当者は、現在活動停止中のRaaSグループDarkSideやBlackMatterとの関連があるとしています。その点ではRaaSビジネスにおいて確立したネットワークや豊富な経験を備えていることも示唆されています。
BlackCatが深刻な脅威と見なされた今、このランサムウェア攻撃グループの戦術、技術、手順(TTP)を理解することは、企業や組織のセキュリティ対策にも不可欠であるといえます。セキュリティリサーチャーによると、2022年9月下旬に発表された報告書では、情報窃取ツールExMatterのアップグレード版、さらにはバックアップソフトウェアVeeamによって保存されている認証情報を窃取するマルウェアEamfoの使用などが指摘されています。このようにBlackCatは、常に進化するマルウェア、アフィリエイトの増加、アンダーグラウンドネットワークとの連携により、RaaS市場でより大きなシェアを獲得できるランサムウェアとして進化しています。
/ransomware-spotlight-blackcat/JP-BlackCat-Infographic.jpg)
企業や組織が知っておくべきこと
BlackCatが従来とは異なる巧妙な手口から人気が高まり、アンダーグラウンド市場でよく知られてきた背景として以下の理由が挙げられます。
BlackCatは、自身のリークサイトを公開することで、感染端末から窃取した情報を被害者からも検索・アクセスできるようにしました。これまでリークサイトは、被害者やセキュリティリサーチャー、他のサイバー犯罪者からの閲覧を制限するためにTorサイト上でホストされるのが通例でした。しかしBlackCatの場合は、リークサイトが公開され、窃取された情報に誰でもアクセスできることから、情報暴露を条件とした身代金支払い要求のプレッシャーがより強くなりました。
RaaSの場合、アフィリエイト(RaaSを用いた攻撃実行役)には、支払われた身代金の90%にも及ぶ多額の報酬が提供されるようになっています。競争の激しいRaaSの中で影響力を急速に拡大するため、高額な支払いでアフィリエイトを募集するという積極的な取り組みが、このランサムウェアの勢力拡大の要因であるとセキュリティリサーチャーの間で指摘されいます。さらに「Ransomware Anonymous Market Place(RAMP)」などのアンダーグラウンドフォーラムや、ロシア語圏のハッキングフォーラムに広告が掲載され、アフィリエイトを自分たちのネットワークに勧誘している点も、リサーチャーたちが指摘する理由として挙げられています。
攻撃グループは、被害者と交渉を行う際、関連サイトへの外部からのアクセスを制限するためにプライベートのアクセスキートークンを使用しています。このアクセスキートークンは、関係者だけに独占的に提供されるため、ランサムウェアの攻撃活動に使用された同一のキーに対応する脅迫状を保持する者だけが交渉に参加できることになり、このような閉じられた空間で、攻撃者はより優位に交渉を進めることが可能となります。
標的となる企業や組織への侵入方法は、ランサムウェアのペイロードを展開するRaaSの利用者に応じて変更できます。Microsoft社の報告によると、BlackCatの利用者は、リモートデスクトップアプリケーションや窃取された認証情報といった一般的な侵入経路とは別に、Microsoft Exchangeサーバの脆弱性を含め、さまざまな経路を駆使して標的ネットワークにアクセスしていることが確認されています。また、同報告書では、BlackCatを利用した攻撃者としては、過去に確認された2つの攻撃グループとの一致点も指摘しています。1つは、Ryuk、Conti、Hiveなどを用いた「DEV-0237」、さらには、Ryukの他、Revil, BlackMatter、Contiなどのランサムウェアを展開していた「DEV-0504」という攻撃グループです。
BlackCatが自身のペイロードを展開するためにボットネットEmotetを使用していた点もセキュリティリサーチャーにより指摘されています。2022年9月17日に発表されたレポートによると、Contiの攻撃グループが用いていたボットネットEmotetが、BlackCatの感染フローにおける初期侵入に利用されていたといいます。さらに同レポートは、感染端末のネットワーク上で水平移動・内部活動をするための第二段階のペイロードとしてCobalt Strikeビーコンをインストールする際にこのボットネットが利用されたことも述べています。こうした一連の利用は、BlackCatが素早く他の手法を取り入れ、より悪質な攻撃を実行する能力があることを示しています。
2021年に初めて登場して以来、BlackCatは、建設、小売、製造、テクノロジー、エネルギーなど、さまざまな業界の企業や組織を標的としてきました。
そして2022年、ドイツの石油会社に対する大規模な攻撃は、このランサムウェア攻撃グループが大手企業に狙いを定め始めたことを示唆していました。ドイツのニュース誌「Handelsblatt」は、同年2月、ドイツ北部における同社233箇所のガソリンスタンドがこのランサムウェアによる被害を受けたと報じました。これら一連のサプライチェーン攻撃により、影響を受けた関連企業も、操業停止に陥り、オイルの供給を他の貯蔵所に迂回させることを余儀なくされました。
さらに同年9月には、イタリアの再生可能エネルギー関連機関への攻撃を主張し、同機関から窃取した700ギガバイトに及ぶ機密情報をTorのリークサイト上で暴露したなどと宣言したことも報じられています。
また、同年5月下旬には、欧州の政府機関も標的にされました。攻撃グループは、ロックされたコンピューターシステムを解読するソフトウェアと引き換えに、500万米ドルの身代金を要求したと伝えられています。この攻撃により、数千台のワークステーションが危険にさらされ、政府機関のサービスが大規模な中断に陥りました。
このようにBlackCatの攻撃は、世界各地で確認されていますが、被害件数別では、米国に拠点を置く企業や組織がトップであり、次いで欧州やアジア太平洋地域と続いています。以下、BlackCatの攻撃を受けた産業別および国別の状況について詳しく説明します。
影響を受けた産業や国
このセクションでは、BlackCatによる企業や組織への攻撃について、トレンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network™(SPN)」のデータを引用しながら見ていきます。なお、これらの検出データは、トレンドマイクロの顧客や調査活動からのものであり、BlackCatのリークサイトで発見された被害のすべてではない点もご留意ください。国別の検出データによると、米国の企業や組織が最も多くBlackCatの攻撃を受けており、全体の39.3%を占めています。第2位はオーストラリアで、残りはヨーロッパとアジア太平洋地域に分散しています。
/ransomware-spotlight-blackcat/JP-Picture1.jpg)
また業界別では最も検出台数が多かったのは製造業で、全体の4分の1に当たる176件となっていました。
/ransomware-spotlight-blackcat/JP-Picture2.jpg)
BlackCatリークサイトに基づく対象地域別および業種別の分布
このセクションでは、BlackCatのリークサイトで確認された攻撃のうち、本稿執筆時点で、身代金の支払い拒否により情報が暴露された被害件数を確認しています。トレンドマイクロのオープンソースインテリジェンス(OSINT)調査および同リークサイトの調査によると、2021年12月1日から2022年9月30日の被害件数は173件となっていました。
/ransomware-spotlight-blackcat/JP-Picture3.jpg)
トレンドマイクロの製品で確認された国別検出台数(図1)は、このリークサイトのデータとも一致しており、攻撃グループは、主に米国に拠点を置く企業や組織を標的にしており、被害件数は全体の58.7%にあたる81件となっていました。次いでヨーロッパやアジア太平洋地域の企業や組織が狙われていました。
/ransomware-spotlight-blackcat/JP-Picture4.jpg)
BlackCatのリークサイトからの被害件数情報によると、業界別では、金融および専門サービスが最も大きな影響を受け、次いで法務サービスとなっています。その他、テクノロジー、エネルギー・公共事業、建設、素材メーカー、製造も大きな影響を受けていました。
/ransomware-spotlight-blackcat/JP-Picture5.jpg)
被害件数をセグメント別に見ると、52%が中小企業、26%が中堅企業となっていました。この2つで標的全体の4分の3以上を占めており、今後もこの傾向は続くと予想されます。
/ransomware-spotlight-blackcat/JP-Picture6.jpg)
感染フローと技術的詳細
/ransomware-spotlight-blackcat/JP-Picture7.jpg)
初期侵入
トレンドマイクロは、MS Exchange Serverの脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)を侵入経路として悪用したランサムウェアBlackCatを確認しました。これらの脆弱性が悪用されると、マネージドサービスプロバイダー(MSP)向けに設計されたソフトウェアソリューションConnectWiseを介してリモートコード実行(RCE)によるアクセスが可能となります。これにより、パスワードやその他の重要なアカウント情報なしで、認証情報を照会することができます。
検出回避、事前調査、クレデンシャルアクセス
このランサムウェアは、感染端末のネットワークにアクセスすると、セキュリティソフトをアンインストールしたり、AdFindやADReconを使って被害者のドメインアカウントを取得したり、SoftPerfectを使って被害者のネットワークに関する情報を探索したりして、標的側のセキュリティ能力を低下させます。また、Process HackerやMimikatzといったツールを利用して、被害者の認証情報を収集します。
水平移動・内部活動
このランサムウェアは、組み込まれたPsExecモジュールを使用することで、単独で横方向に自身を展開して実行することができます。トレンドマイクロでも、BlackCatの攻撃者が、RDPやMobaXtermなどのリモートコントロールアプリケーションを使用して、被害者のネットワーク内の他のエンドポイントにアクセスし、横方向に移動していることを確認しています。
情報送出
このランサムウェアは、7-Zip、Rclone、MEGASync、WinSCPを使用して窃取した情報をアーカイブし、C&Cサーバに送信するほか、ExMatterを使用して二重恐喝用の情報を窃取する場合もあります。トレンドマイクロでも、2022年9月に公開されたExMatterのアップグレード版をBlackCatが使用していることを指摘しました。
被害規模
このランサムウェアは、プログラミング言語Rustを使用してデータの暗号化をするランサムウェアのペイロードを展開しています。この場合、感染端末の背景画像を改ざんし、「重要なファイルがダウンロードされ暗号化された」という通知と合わせ、さらなる指示を促す画像を表示させます(図9を参照)。
また、バックアップ、セキュリティソフト、データベース、Windowsインターネットサービス、ESXi仮想マシン(VM)に関連する特定のサービスも終了させます。
さらにトレンドマイクロの調査によると、暗号化の動作に進む前に感染端末をセーフモードで再起動させる新たな亜種も確認されています。その他、システムリカバリ機能の無効化や、ボリュームシャドウコピーの削除などにより、感染端末の復旧も阻止します。
/ransomware-spotlight-blackcat/Picture8.png)
/ransomware-spotlight-blackcat/Picture9.jpg)
その他の技術的詳細
詳細については、こちらをご参照ください。
MITRE ATT&CK tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、BlackCatの攻撃で使用されるこちらのマルウェアツールおよびエクスプロイトに注意する必要があります。
推奨事項
BlackCatによる不正活動の一連の特徴は、このランサムウェアの攻撃グループがよりアグレッシブな性格を備えていることを示唆しています。彼らは、型破りな手法を好み、なおかつそれらの手法が洗練され、RaaSの利用者も増加し続けていることから、活動基盤は強固であり、今後もこの勢いは続くと考えられます。そしてこのことは、企業や組織がランサムウェア全般の脅威から身を守るためにも、十分な情報収集とセキュリティ対策を行うべきという明確な理由を示してくれているともいえます。
これらの脅威から自社のシステムを保護する際、企業や組織は、ランサムウェアに対する強力な防衛戦略を講じるため、体系的にリソースを割り当てるセキュリティフレームワークの確立が不可欠となります。
そうした点から企業や組織が考慮すべきベストプラクティスは、以下のものが挙げられます。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、Web、ネットワーク)への防御が可能となります。また、悪意のあるコンポーネントや不審な挙動の検出も可能となります。
トレンドマイクロのソリューション
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
参考記事:
「Ransomware Spotlight: BlackCat」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)