Blackcat ランサムウェアとは何ですか? また、それを防御する方法は?

公開: 2022-12-27

サイバー攻撃とは、既存の脆弱性を利用してコンピューター システムまたはネットワークへの不正アクセスを意図的に悪意を持って試みることです。 これは、機密情報を盗み、通常の操作を妨害するために行われる可能性があります。

最近では、ランサムウェアがサイバー犯罪者の間で頼りになるサイバー攻撃ツールになっています。 ランサムウェアは通常、フィッシング メール、ドライブバイ ダウンロード、海賊版ソフトウェア、リモート デスク プロトコルなどを通じて拡散されます。

コンピュータがランサムウェアに感染すると、ランサムウェアはコンピュータ内の重要なファイルを暗号化します。 次にハッカーは、暗号化されたデータを復元するために身代金を要求します。

サイバー攻撃は、国の安全保障を危険にさらし、経済の主要部門での業務を不能にし、莫大な損害と深刻な経済的損失を引き起こす可能性があります。 これはまさに、WannaCry ランサムウェア サイバー攻撃で起こったことです。

ハッカー

2017 年 5 月 12 日、WannaCry と呼ばれるランサムウェアが北朝鮮で発生したと考えられ、世界中に広がり、2 日以内に 150 か国以上で 200,000 台を超えるコンピューター システムに感染しました。 WannaCry は、Windows オペレーティング システムを実行しているコンピューター システムを標的にしました。 オペレーティング システムのサーバー メッセージ ブロック プロトコルの脆弱性を悪用しました。

この攻撃の最大の被害者の 1 つは、英国の国民保健サービス (NHS) でした。 コンピューター、劇場、診断機器、MRI スキャナーなど、70,000 を超えるデバイスが感染しました。 医師は、患者の治療に必要なシステムや患者の記録にアクセスできませんでした。 この攻撃により、NHS は 1 億ドル近くの損害を被りました。

それがどれほど悪いことかです。 しかし、事態はさらに悪化する可能性があり、特に BlackCat などの新しい、より危険なランサムウェアの場合は、被害者でいっぱいの道を後にしています.

BlackCat ランサムウェア

BlackCatランサムウェア

開発者が ALPHV と呼んでいる BlackCat ランサムウェアは、システムに感染すると、感染したシステムのデータを盗み出して暗号化する悪意のあるソフトウェアです。 流出には、システムに保存されているデータのコピーと転送が含まれます。 BlackCat が重要なデータを盗み出して暗号化すると、暗号通貨で身代金を要求されます。 BlackCat の被害者は、自分のデータへのアクセスを取り戻すために要求された身代金を支払う必要があります。

BlackCat は普通のランサムウェアではありません。 BlackCat は、通常 C、C++、C#、Java、または Python で記述される他のランサムウェアとは異なり、Rust で記述された最初の成功したランサムウェアです。 さらに、BlackCat は、攻撃によって盗んだ情報を漏らすクリア Web 上の Web サイトを持つ最初のランサムウェア ファミリでもありました。

他のランサムウェアとのもう 1 つの重要な違いは、BlackCat がサービスとしてのランサムウェア (RaaS) として動作することです。 Raas は、ランサムウェアの作成者がランサムウェアをサービスとして他の個人やグループにレンタルまたは販売するサイバー犯罪のビジネス モデルです。

このモデルでは、ランサムウェアの作成者は、他の人がランサムウェア攻撃を配布および実行するために必要なすべてのツールとインフラストラクチャを提供します。 これは、ランサムウェアの支払いから得た利益の一部と引き換えです。

これは、BlackCat が主に組織や企業を標的にしてきた理由を説明しています。なぜなら、彼らは通常、個人よりも身代金を喜んで支払うからです。 組織や企業は、個人よりも大きな身代金を支払います。 サイバー攻撃における人間の誘導と意思決定は、Cyber​​ Threat Actors (CTA) として知られています。

被害者に身代金の支払いを強制するために、BlackCat は「三重恐喝手法」を使用します。 これには、被害者のデータをコピーして転送し、システム上のデータを暗号化することが含まれます。 次に被害者は、暗号化されたデータにアクセスするために身代金を支払うよう求められます。 そうしないと、データが公開されたり、システムにサービス拒否 (DOS) 攻撃が仕掛けられたりします。

最後に、データ漏洩の影響を受ける人に連絡し、データが漏洩することを通知します。 これらは通常、顧客、従業員、およびその他の会社の関連会社です。 これは、データ漏洩による評判の低下や訴訟を回避するために、被害組織に身代金を支払うよう圧力をかけるために行われます。

BlackCat ランサムウェアのしくみ

BlackCat ランサムウェアのしくみ

FBI が発表したフラッシュ アラートによると、BlackCat ランサムウェアは、以前に侵害されたユーザーの資格情報を使用して、システムへのアクセスを取得します。

システムへの侵入に成功すると、BlackCat はそのアクセス権を使用して、Active Directory に保存されているユーザー アカウントと管理者アカウントを侵害します。 これにより、Windows タスク スケジューラを使用して悪意のあるグループ ポリシー オブジェクト (GPO) を構成し、BlackCat がランサムウェアを展開してシステム内のファイルを暗号化できるようにします。

BlackCat 攻撃では、PowerShell スクリプトが Cobalt Strike と一緒に使用され、被害者のネットワークのセキュリティ機能が無効になります。 その後、BlackCat は被害者のデータを、クラウド プロバイダーなどの保存場所から盗みます。 これが完了すると、攻撃を誘導するサイバー攻撃者が BlackCat ランサムウェアを展開して、被害者のシステム内のデータを暗号化します。

被害者は、システムが攻撃を受け、重要なファイルが暗号化されたことを知らせる身代金メモを受け取ります。 身代金には、身代金の支払い方法も記載されています。

BlackCat が平均的なランサムウェアよりも危険なのはなぜですか?

暗号化されたBlackCat

BlackCat は、多くの理由から、平均的なランサムウェアと比較して危険です。

Rustで書かれています

Rust は、高速で安全なプログラミング言語であり、パフォーマンスの向上と効率的なメモリ管理を提供します。 Rust を使用することで、BlackCat はこれらすべての利点を享受し、高速暗号化を備えた非常に複雑で効率的なランサムウェアになります。 また、BlackCat のリバース エンジニアリングが困難になります。 Rust は、攻撃者が BlackCat を簡単にカスタマイズして、Windows や Linux などのさまざまなオペレーティング システムを標的にし、潜在的な被害者の範囲を広げることができるクロスプラットフォーム言語です。

RaaSビジネスモデルを採用

BlackCat がサービス モデルとしてランサムウェアを使用することで、多くの脅威アクターが、ランサムウェアの作成方法を知らなくても、複雑なランサムウェアを展開できます。 BlackCat は、脆弱なシステムに展開する必要があるだけの攻撃者にとって、面倒な作業をすべて行います。 これにより、脆弱なシステムの悪用に関心のある脅威アクターは、高度なランサムウェア攻撃を簡単に行うことができます。

アフィリエイトに巨額の支払いを提供します

BlackCat が Raas モデルを採用しているため、作成者は、Raas モデルを展開する脅威アクターに支払われた身代金から一部を受け取ることで収益を得ています。 攻撃者が支払う身代金の最大 30% を受け取る他の Raas ファミリとは異なり、BlackCat では、攻撃者は身代金の 80% から 90% を保持できます。 これにより、脅威アクターに対する BlackCat の魅力が高まり、BlackCat は、サイバー攻撃で BlackCat を展開することをいとわない、より多くの関連会社を獲得できます。

クリアウェブ上に公開リークサイトがあります

ダーク Web で盗んだ情報を漏らす他のランサムウェアとは異なり、BlackCat は、クリア Web でアクセス可能な Web サイトで盗んだ情報を漏らします。 盗んだデータを平文で漏らすことで、より多くの人がデータにアクセスできるようになり、サイバー攻撃の影響が大きくなり、被害者に身代金を支払うよう圧力をかけることになります。

Rust プログラミング言語により、BlackCat はその攻撃において非常に効果的になりました。 Raas モデルを使用して巨額の報酬を提供することで、BlackCat は攻撃に展開する可能性が高い、より多くの攻撃者にアピールします。

BlackCat ランサムウェア感染チェーン

感染連鎖

BlackCat は、侵害された資格情報を使用するか、Microsoft Exchange Server の脆弱性を悪用して、システムへの初期アクセスを取得します。 悪意のあるアクターは、システムへのアクセスを取得した後、システムのセキュリティ防御を解除し、被害者のネットワークに関する情報を収集して権限を昇格させます。

その後、BlackCat ランサムウェアはネットワーク内を横方向に移動し、可能な限り多くのシステムにアクセスします。 これは、身代金要求時に役立ちます。 攻撃を受けるシステムが多いほど、被害者が身代金を支払う可能性が高くなります。

その後、悪意のあるアクターがシステムのデータを盗み出し、恐喝に使用します。 重要なデータが盗み出されると、BlackCat ペイロードが配信される準備が整います。

悪意のあるアクターは、R​​ust を使用して BlackCat を配信します。 BlackCat はまず、バックアップ、ウイルス対策アプリケーション、Windows インターネット サービス、仮想マシンなどのサービスを停止します。 これが完了すると、BlackCat はシステム内のファイルを暗号化し、システムの背景画像を改ざんして身代金メモに置き換えます。

BlackCat ランサムウェアからの保護

安全

BlackCat は以前に確認された他のランサムウェアよりも危険であることが証明されていますが、組織はさまざまな方法でランサムウェアから身を守ることができます。

重要なデータを暗号化する

Blackhat の恐喝戦略の一部には、被害者のデータを漏らすと脅迫することが含まれます。 重要なデータを暗号化することで、組織はそのデータに保護レイヤーを追加し、BlackHat 攻撃者が使用する恐喝手法を無効にします。 漏洩したとしても、人間が読める形式にはなりません。

システムを定期的に更新する

Microsoft が実施した調査では、BlackCat がパッチを適用していない Exchange サーバーを悪用して組織のシステムにアクセスするケースがあったことが明らかになりました。 ソフトウェア企業は、自社のシステムで発見された可能性のある脆弱性やセキュリティの問題に対処するために、定期的にソフトウェア更新プログラムをリリースしています。 安全のために、ソフトウェア パッチが利用可能になったらすぐにインストールしてください。

安全な場所にデータをバックアップする

組織は、定期的にデータをバックアップし、別の安全なオフラインの場所にデータを保存することを優先する必要があります。 これは、重要なデータが暗号化されている場合でも、既存のバックアップから復元できるようにするためです。

多要素認証を実装する

システムで強力なパスワードを使用することに加えて、システムへのアクセスが許可される前に複数の資格情報を必要とする多要素認証を実装します。 これは、システムにアクセスするために必要な、リンクされた電話番号または電子メールに送信されるワンタイム パスワードを生成するようにシステムを構成することによって実行できます。

ネットワーク上のアクティビティとシステム内のファイルを監視する

組織は、ネットワーク上の疑わしいアクティビティをできるだけ早く検出して対応するために、ネットワーク上のアクティビティを常に監視する必要があります。 潜在的な脅威を特定するために、ネットワーク上のアクティビティもログに記録し、セキュリティの専門家がレビューする必要があります。 最後に、システム内のファイルがどのようにアクセスされ、誰がアクセスし、どのように使用されているかを追跡するシステムを導入する必要があります。

重要なデータを暗号化することで、システムを最新の状態に保ち、定期的にデータをバックアップし、多要素認証を実装し、システム内のアクティビティを監視します。 組織は一歩先を行くことができ、BlackCat による攻撃を防ぐことができます。

学習リソース: ランサムウェア

サイバー攻撃の詳細と、BlackCat などのランサムウェアからの攻撃から身を守る方法については、これらのコースのいずれかを受講するか、以下に提案されている本を読むことをお勧めします。

#1。 セキュリティ意識向上トレーニング

セキュリティ意識向上トレーニング

これは、インターネット上での安全性に関心のあるすべての人にとって素晴らしいコースです。 このコースは、認定情​​報システム セキュリティ プロフェッショナル (CISSP) である Dr. Michael Biocchi によって提供されます。

このコースでは、フィッシング、ソーシャル エンジニアリング、データ漏えい、パスワード、セーフ ブラウジング、個人用デバイスについて説明し、オンラインで安全に過ごすための一般的なヒントを提供します。 コースは定期的に更新され、インターネットを使用するすべての人がその恩恵を受けることができます。

#2。 セキュリティ意識向上トレーニング、従業員向けインターネット セキュリティ

従業員向けセキュリティ意識向上トレーニング インターネット セキュリティ

このコースは、日常のインターネット ユーザー向けに調整されており、人々が気付いていないことが多いセキュリティの脅威と、脅威から身を守る方法について教育することを目的としています。

CISSP 認定の情報セキュリティ エキスパートである Roy Davis が提供するコースでは、ユーザーとデバイスの説明責任、フィッシングやその他の悪意のある電子メール、ソーシャル エンジニアリング、データ処理、パスワードとセキュリティに関する質問、セーフ ブラウジング、モバイル デバイス、ランサムウェアについて取り上げます。 コースを修了すると、ほとんどの職場でデータ規制ポリシーに準拠するのに十分な修了証明書を取得できます。

#3。 サイバーセキュリティ: まったくの初心者向けの意識トレーニング

サイバーセキュリティ

これは、トレーニングと認定のスタートアップである Logix Academy の Usman Ashraf が提供する Udemy コースです。 Usman は CISSP 認定を受けており、博士号を取得しています。 コンピュータネットワークと多くの業界および教育経験があります。

このコースでは、ソーシャル エンジニアリング、パスワード、安全なデータ処理、仮想プライベート ネットワーク (VPN)、マルウェア、ランサムウェア、および安全なブラウジングのヒントについて学習者に深く掘り下げ、Cookie を使用してユーザーを追跡する方法について説明します。 コースは非技術的です。

#4。 明らかになったランサムウェア

これは、独立した情報セキュリティ コンサルタントであり、サイバー セキュリティとデジタル フォレンジックの専門家である Nihad A. Hassan による本です。 この本は、ランサムウェア攻撃を緩和して処理する方法を教え、読者に存在するさまざまな種類のランサムウェア、その配布戦略、および回復方法について詳しく説明しています。

プレビュー製品評価価格
明らかになったランサムウェア: ランサムウェア攻撃からの保護と回復のための初心者向けガイド 明らかになったランサムウェア: ランサムウェア攻撃からの保護と回復のための初心者向けガイド $23.74 アマゾンで購入

この本には、ランサムウェアに感染した場合に従うべき手順も記載されています。 これには、身代金の支払い方法、バックアップの実行方法、影響を受けたファイルの復元方法、および感染したファイルを解読するための解読ツールをオンラインで検索する方法が含まれます。 また、組織がランサムウェア インシデント対応計画を策定して、ランサムウェアの被害を最小限に抑え、通常の運用を迅速に回復する方法についても説明します。

#5。 ランサムウェア: わかりました。 防ぐ。 回復

この本では、上級セキュリティ アーキテクトであり、Recorded Future のランサムウェア スペシャリストである Allan Liska が、ランサムウェアに関するすべての難しい質問に答えています。

プレビュー製品評価価格
ランサムウェア: わかりました。防ぐ。回復。 ランサムウェア: わかりました。 防ぐ。 回復。 $17.99 アマゾンで購入

この本は、ランサムウェアが近年普及した理由、ランサムウェア攻撃を阻止する方法、悪意のある攻撃者がランサムウェアを使用して標的とする脆弱性、最小限の被害でランサムウェア攻撃を乗り切るためのガイドの歴史的背景を提供します。 さらに、この本は、身代金を支払うべきかという非常に重要な質問に答えています。 この本は、ランサムウェアのエキサイティングな調査を提供します。

#6。 ランサムウェア保護プレイブック

ランサムウェアに対抗しようとしている個人または組織にとって、この本は必読です。 この本では、コンピューターのセキュリティと侵入の専門家であるロジャー A. グライムズが、この分野での豊富な経験と知識を提供し、人々や組織がランサムウェアから身を守るのを支援しています。

プレビュー製品評価価格
ランサムウェア保護プレイブック ランサムウェア保護プレイブック $17.00 アマゾンで購入

この本は、ランサムウェアに対する堅牢な防御策を策定しようとしている組織に、実行可能な青写真を提供します。 また、攻撃を検出し、被害を迅速に制限し、身代金を支払うかどうかを判断する方法についても説明します。 また、組織が重大なセキュリティ違反によって引き起こされる評判と財務上の損害を制限するのに役立つ戦略も提供します。

最後に、ビジネスや日常生活への混乱を軽減するために、サイバーセキュリティ保険と法的保護のための安全な基盤を構築する方法を説明します。

著者のメモ

BlackCat は革命的なランサムウェアであり、サイバー セキュリティに関して現状を変えることは間違いありません。 2022 年 3 月の時点で、BlackCat は 60 を超える組織への攻撃に成功し、FBI の注目を集めることができました。 BlackCat は深刻な脅威であり、どの組織もこれを無視することはできません。

BlackCat は、最新のプログラミング言語と型にはまらない攻撃方法、暗号化、および身代金の強要を採用することで、セキュリティ専門家に遅れをとらせています。 しかし、このランサムウェアとの戦いは負けていません。

この記事で取り上げた戦略を実行し、人為的ミスによってコンピューター システムが公開される可能性を最小限に抑えることで、組織は一歩先を行くことができ、BlackCat ランサムウェアの壊滅的な攻撃を防ぐことができます。