BlackCat ランサムウェアとは

BlackCat ランサムウェア（別名 Noberus または ALPHV ランサムウェア）は、ロシア語話者のサイバー犯罪者グループが生み出したマルウェアの一種です。このグループの複数のメンバーは、すでに消滅した 2 つのランサムウェアグループである DarkSide と BlackMatter とつながりがあると考えられています。2021 年に初めて登場した BlackCat は、最も活動的なランサムウェアの 1 つとなりました。「Sphynx」と呼ばれる新しいバリアントは、より高速かつ高効率で動作すると考えられています。BlackCat は Rust プログラミング言語で記述されており、他のタイプのランサムウェアの脅威よりも排除が困難です。 BlackCat ランサムウェア攻撃 の被害を受けている業界として、建設、製造、エネルギー、ヘルスケア、テクノロジー、小売業があげられます。

BlackCat を使用する攻撃者は、リモート・デスクトップ・プロトコル、侵害された認証情報、エクスチェンジサーバーの脆弱性など、さまざまな方法で IT 環境やユーザーアカウントに初期アクセスします。一部のユーザーは、人気のあるソフトウェアの偽物をダウンロードさせようと宣伝する Google 広告を使用します。ユーザーがリンクをクリックすると、正規のソフトウェアではなくマルウェアがダウンロードされます。マルウェアペイロードがネットワーク内のデバイスに感染すると、サイバー犯罪者はそのペイロードを使用してサーバーや個々のマシン上のファイルやデータを暗号化し、ユーザーがアクセスできないようにします。また、BlackCat グループは機微な情報を暗号化前に窃取し、身代金が支払われなければそのデータを公開すると脅迫します。

BlackCat ランサムウェアファミリーが他のタイプの ランサムウェア 攻撃と異なる主な理由は次のとおりです。

• サービスとしてのランサムウェア。BlackCat は Ransomware as a Service（RaaS）モデルで運用されています。このモデルでは、 マルウェア の作成者が他のグループにマルウェアの使用を認めて、見返りとして身代金の一部を受け取ります。
• 高い支払い。BlackCat の背後にいるハッカーは、このソフトウェアを使用する犯罪関係者に 80～90% の支払いを求めます。これは、一般的な 70% の支払いよりも高い割合です。
• 新しいプログラミング言語。BlackCat は Rust で書かれた初のランサムウェアです。Rust は、Windows システムと Windows 以外のシステム（Linux や VMware インスタンスの仮想マシンなど）の両方で実行できる、高速で安定した安全なプログラミング言語です。これまで Linux ベースのシステムを標的としたマルウェアはほとんどなかったため、Linux ベースの環境を管理しているセキュリティチームはこのような破壊的な サイバー攻撃に対応する準備が不十分である場合があります。多くのセキュリティソリューションは Rust やその他の最新のプログラミング言語で記述された脅威の分析にはあまり効果的でないため、一部のセキュリティツールでは BlackCat を認識して緩和することがより困難になっています。
• カスタマイズ性。BlackCat オペレーターはランサムウェアをカスタマイズして、さまざまなオペレーティングシステムで動作させることができるため、潜在的なターゲットの幅が広がります。オペレーターはさまざまな暗号化アルゴリズムを選択し、身代金要求をカスタマイズし、無視するファイルを指定し、停止させるサービスやプロセスを選択できます。
• 3 重の脅威。BlackCat を使用する攻撃者は 3 重の脅迫戦術を用います。感染したファイルを復号するため、盗まれたデータを公開させないため、そして被害者に対するサービス妨害（DoS）または 分散サービス妨害（DDoS）攻撃 を行わせないために、身代金を要求することです。
• 公衆のデータ流出サイト。BlackCat の背後にいるグループは公衆インターネット上に Web サイトを作成し、成功した攻撃によって得られたデータをそこで流出させました。これにより、サイバー犯罪者間で BlackCat ランサムウェアの影響がさらに可視化されると同時に、被害者が脅迫に屈して身代金を支払う傾向が強まりました。

ランサムウェア攻撃が BlackCat マルウェアを使用していることを示す兆候がいくつかあります。脅威の痕跡情報（IOC）には、ファイル・ハッシュ・シグニチャー、コマンド & コントロール IP アドレス、FBI およびその他の分析によってリリースされた特定のドメインが含まれます。BlackCat 攻撃では通常、独自の身代金要求またはカスタマイズされた身代金要求が使用され、それには以前に窃取され身代金要求の対象となったデータがあることの証拠を示す独自の Tor Web サイトへのリンクが含まれている場合があります。また、BlackCat は各キャンペーンで暗号化されたファイルに一意かつランダムな拡張子を追加し、身代金要求の対象ファイルを含むすべてのディレクトリーに「RECOVER-<random>-NOTES.txt」というファイルを作成します。

他の種類のサイバー犯罪やランサムウェア攻撃を防止するために使用されるのと同じ方法と制御が BlackCat 攻撃にも有効です。

• マイクロセグメンテーション。ソフトウェア定義のマイクロセグメンテーションにより、個々の IT 資産やネットワークを構成する小規模なサブセットへのアクセスを厳密に制限することで、ランサムウェア攻撃に不可欠なラテラルムーブメント（横方向の移動）を防止できます。
• セキュリティ意識向上トレーニング。従業員の教育はランサムウェアの防止に不可欠です。意識向上トレーニングには、セキュリティ衛生のベストプラクティスに加え、ランサムウェアを配布するためによく使用されるフィッシングメールなどの手口を認識する方法を含める必要があります。
• 暗号化。暗号化により、組織はランサムウェア攻撃者が機微な情報を盗んで公開するのを防ぐことができます。
• 強力なアイデンティティおよびアクセス制御。強力なパスワードや 多要素認証などの手法を導入することで、組織はデータの閲覧や変更を行えるユーザーを厳しく制限し、BlackCat ランサムウェア感染のリスクや範囲を減らすことができます。
• バックアップ。定期的なデータバックアップにより、組織は身代金を支払ったりファイルを永久に失ったりすることなく、ランサムウェアの感染から迅速に復旧できます。バックアップはコンピューターやネットワークに接続されていない安全な場所に保存し、その保管場所が感染しないようにする必要があります。
• 最適な頻度のパッチ適用。定期的にアップデートとセキュリティパッチをインストールすることで、攻撃者が利用する可能性のあるハードウェア、アプリケーション、API の脆弱性に対処できます。
• 継続的な監視。ネットワーク管理者は受信トラフィックと送信トラフィックを継続的に監視し、ランサムウェア攻撃やその他の種類のサイバー攻撃の兆候である異常なパターンを検索する必要があります。
• エンドポイントセキュリティ。エンドポイント・セキュリティ・サービスは、デバイスレベルで攻撃を認識してブロックするための保護を提供します。
• セキュアなクラウドサービス。クラウド・サービス・プロバイダーを選択する際に、組織は多くのクラウドサービスに使用されているセキュリティ責任分担モデルをセキュリティチームに理解させて、プロバイダーが一般的な標準や品質フレームワーク（ PCI DSS や FedRAMP 認証など）に準拠していることを確認する必要があります。
• データ漏えい防止（DLP）。DLP ソリューションは、機密性に基づいてデータを詳細に分類し、潜在的なランサムウェアインシデントやデータ窃取が発生している場合にセキュリティチームにリアルタイムで警告することができます。