この猛烈な新しいタイプのランサムウェアは、世界中の60の異なる組織に付きまとっています
ALPHVとも呼ばれる新しいタイプのBlackCatランサムウェアは、2021年11月から2022年3月の間に世界中の少なくとも60の異なる組織に感染しています。
連邦捜査局(FBI)が実施した調査レポートでは、BlackCatはサービスとしてのランサムウェア(RaaS)アクターであり、信頼性の高いパフォーマンスの向上と同時処理を提供するより安全なプログラミング言語と考えられているRUSTを正常に使用しています。
BlackCatランサムウェア自体はカスタマイズ可能で、複数の暗号化方法とオプションをサポートしているため、さまざまなエンタープライズ環境に合わせて攻撃を簡単に調整できます。
今年の初めから、FBIはBlackByte、Ragnar Locker、Avoslockerなどのランサムウェアギャングが米国の数十の重要なインフラストラクチャ組織をどのように標的にし、侵害したかを強調する他の警告を発行しました。
「BlackCatは通常、復号化キーと引き換えにビットコインとMoneroでの支払いを要求し、リクエストは通常数百万ドルですが、最初のリクエストを下回る支払いを受け入れることがよくあります」とFBIは述べています。
さらに、BlackCatはダークサイド(別名ブラックマター)とも強いつながりを持ち、マルウェアやランサムウェア攻撃の運用において広範なネットワークと経験を持っています。
「BlackCat/ALPHVの多くの開発者やマネーロンダラーは、ダークサイド/ブラックマターに関連しており、ランサムウェア操作に関する広範なネットワークと経験を持っていることを実証しています」とFBIは述べています。
ダークサイドRaaS作戦は2020年8月に開始され、コロニアルパイプラインのイベントに対する広く公表された攻撃の後、法執行機関がギャングを倒そうとした後、2021年5月に閉鎖されました。
彼らは7月31日にBlackMatterに改名されましたが、Emsisoftがランサムウェアの欠陥を発見して悪用して復号化を作成し、ギャングのサーバーが押収された後、2021年11月に再びシャットダウンを余儀なくされました。
BlackCatランサムウェアギャングが被害者を攻撃した方法
通常、攻撃は侵害されたアカウントから始まり、攻撃者はターゲットエンドポイントに早期にアクセスできます。その後、グループは Active Directory ユーザーと管理者のアカウントを侵害し、Windows タスク スケジューラを使用して悪意のあるグループ ポリシー オブジェクト (GPO) を構成し、ランサムウェアを拡散させます。
最初の展開では、PowerShell スクリプトと Cobalt Strike が使用され、被害者のネットワークでセキュリティ機能が無効になりました。
その後、攻撃者はシステムをロックする前に、できるだけ多くのデータをダウンロードします。そして、彼らは彼らが見つけることができるどんなクラウドホスティングプロバイダからでもデータを引き出そうとします。最後に、Windowsスクリプトの助けを借りて、BlackCatはランサムウェアを追加のホストに展開することができます。
FBIはまた、ドメインコントローラ、サーバー、ワークステーション、および新規または未知のユーザーアカウントのアクティブディレクトリのレビューを含む、推奨される軽減策の完全なリストを作成しました。
さらに、ユーザーは定期的にデータをバックアップしたり、タスクスケジューラで不明なスケジュールされたタスクを確認したり、ソフトウェアのインストールプロセスで管理者の資格情報を要求したりできます。