BlackCatランサムウェアグループは、WindowsおよびLinuxの脆弱なシステムを持つ企業を標的にしています

サイバーセキュリティ企業Kasperskyの研究者は、今日のランサムウェア市場の主要プレーヤーの1つであるランサムウェアグループBlackCatによる2つのインシデントを発見しました。

「不運なBlackCat」と題された最近のレポートで、カスペルスキーの研究者は、攻撃の試みを実行する際に使用されたツールとテクニックを学び、BlackCatとBlackMatterやREvilなどの他の有名なランサムウェアグループとの関連性を確認しました。

BlackCatランサムウェアグループは、少なくとも2021年12月から活動している脅威アクターです。他の多くのランサムウェアアクターとは異なり、BlackCatマルウェアはRustプログラミング言語で書かれています。

「Rustの高度なクロスコンパイル機能のおかげで、BlackCatはWindowsおよびLinuxシステムをターゲットにすることができます。言い換えれば、BlackCatはランサムウェア開発の課題に対処するために使用される漸進的な進歩と技術的変化をもたらしました」と、カスペルスキーのグローバルリサーチ&アナリシスチーム(GReAT)のセキュリティ研究者であるドミトリー・ガロフは述べています。

この俳優は、BlackMatterやREvilなどの有名なランサムウェアグループの後継者であると主張しています。カスペルスキーが発見した2つのインシデントのうち、1つは共有クラウドホスティングリソースがもたらすリスクを示し、もう1つはBlackMatterとBlackCatのアクティビティで再利用される特定のマルウェアに対するアジャイルアプローチを示しています。

最初のケースでは、中東で脆弱で複数のサイトをホストしているエンタープライズリソースプランニング(ERP)プロバイダに対する攻撃が発生しました。

攻撃者は同時に 2 つの異なる実行可能ファイルを同じ物理サーバーに送信し、事実上そこでホストされている 2 つの異なる組織を標的にします。

「グループは感染したサーバーを2つの異なる物理システムと誤解しましたが、攻撃者はBlackCatの運用スタイルを決定するための重要な痕跡を残しました」とGalov氏は述べています。

カスペルスキーの研究者は、このアクターがクラウドリソース間で共有資産のリスクを悪用したと結論付けました。さらに、この場合、グループはNirsoftネットワークパスワード回復実行可能ファイルとユーティリティとともにMimikatzバッチファイルも送信します。

2番目のケースは、南米の石油、ガス、鉱業、建設会社が関与し、BlackCatとBlackMatterランサムウェア活動との関連性を明らかにしました。

このランサムウェア攻撃の背後にいるアフィリエイトは、ターゲットネットワーク内でBlackCatランサムウェアを配信しようとしただけでなく、ランサムウェアの配信に先立って、Fendrと呼ばれる変更されたカスタムエクスフィルトレーションユーティリティをインストールしました。

ExMatterとしても知られるこのユーティリティは、以前はBlackMatterのランサムウェア活動の一部としてのみ使用されていました。

「REvilとBlackMatterのグループが事業を閉鎖すると、別のランサムウェアグループがニッチ市場を引き継ぐのを長く待つ必要はありませんでした。マルウェア開発の知識、珍しいプログラミング言語でゼロから書かれた新しい例、インフラストラクチャの維持経験により、BlackCatグループはランサムウェア市場の主要プレーヤーになりました。

この重大なインシデントを分析することで、カスペルスキーの研究者は、BlackCatがターゲットネットワークに侵入する際に使用する主な機能、ツール、およびテクニックを強調しました。

「この知識は、既知の脅威と未知の脅威の両方からユーザーのセキュリティと保護を維持するのに役立ちます」とGalov氏は述べています。

「私たちはサイバーセキュリティコミュニティに対し、より安全な未来のために力を合わせ、新しいサイバー犯罪グループに対して協力することを強く求めます。