BlackCat Ransomwareとは

BlackCatランサムウェアとは?FBIは最近、BlackCat Ransomware(別名NoberusおよびAlphaV)と呼ばれる新種のランサムウェアについて警告を発し、世界中の企業や個人のコンピュータ(主に米国で活動)に大損害を与えています。 FBI捜査官は、BlackCatを放置すれば企業にとって深刻な問題となることを懸念しています。ほとんどの企業は、ハッカーを排除するための強力なセキュリティ・システムを導入していますが、今回のような攻撃には対応できていないかもしれません。

Forbesの記事全文はこちらでご覧いただけます。

BlackCatランサムウェア。新たなランサムウェアの一団が逃亡中  

BlackCatは、他のタイプのランサムウェアと同様の暗号化技術を使用していますが、さらにいくつかのセキュリティ対策を追加し、ファイルが暗号化された場合の復号化をより困難にしています。これには、2つの異なる暗号化アルゴリズムを使用することや、暗号化されたファイルと同じドライブに復号化キーが決して保存されないようにすることなどが含まれます。

BlackCatの作成者は、個人ではなく企業や組織をターゲットにしているようです。この種の組織は、個人よりも身代金の支払いに応じる傾向があるため、理にかなっています。

BlackCatは、企業をターゲットにして知的財産や個人情報を盗み出すサイバー犯罪者集団です。建設・エンジニアリング、小売、運輸、商業サービス、保険、機械などの分野の企業をターゲットにしていることで知られています。

このグループは、ヨーロッパとフィリピンの組織も攻撃しています。これまでのところ、最も多くの犠牲者を出しているのは米国ですが、今後、世界中にその勢力を拡大するにつれて、この状況は変化していく可能性があります。

D

BlackCat Ransomwareとは。ランサムウェア・アズ・ア・サービス(RaaS)です。

BlackCat Ransomwareは、アフィリエイト・マーケティングの仕組みに依存したランサムウェア・アズ・ア・サービス(RaaS)ビジネスモデルです。RaaSビジネスモデルとして運営されているということは、BlackCatが自らマルウェアをホストしたり配布したりするのではなく、サードパーティにそれを代行してもらうことを意味しています。このような形で運営することにより、BlackCatは法的責任を回避することができ、また、アンチウイルスソフトウェアによる検出を回避することができます。

Ransomware-as-a-Service(ランサムウェア・アズ・ア・サービス)とは? 

ランサムウェア・アズ・ア・サービス(RaaS)は、比較的新しいタイプのサイバー攻撃で、誰でも悪意のあるソフトウェアを購入し、それを使って、通常、身代金が支払われるまでファイルを人質として拘束することができるものです。

RaaSは、ハッカーにとって非常に有益です。なぜなら、ハッカーは、自分自身で攻撃を行う場合のように、法執行機関に捕まる心配をせずに、他の犯罪者にランサムウェア・ソフトウェアを貸し出すことができるからです。

RaaSは、「アフィリエイト」プログラムを利用して運営されています。これは、基本的に、マルウェアを広めることによって収入を得ることができるプログラムです。アフィリエイトは、被害者を感染させるたびに、またマルウェアが収益を上げるたびに報酬を得ることができる。アフィリエイトは、RaaSを広めることに成功すればするほど、より多くのお金を得ることができるのです。

どのように操作するのですか?

ランサムウェアは、通常、電子メールまたはハッキングされたウェブサイトを通じて配信されます。このマルウェアは、ユーザーのファイルをすべて暗号化し、ユーザーが連邦法に違反したことを示すアラートを表示して、ユーザーのコンピュータをロックさせます。その後、攻撃者は、ビットコインやその他の暗号通貨で身代金(通常200ドルから600ドル)を支払うことで、コンピュータのロックを解除できることをユーザーに通知します。

RaaSの犯罪者がこの種の詐欺から逃れることができる理由は、ほとんどの被害者がランサムウェアに感染しても報告せず、身代金を支払ってベストを尽くすことで問題を解決しようとするためである。

ランサムウェア攻撃への対策が必要ですか?詳しくはこちら DMARCとランサムウェアをご覧ください。

BlackCatランサムウェアの解剖図

ランサムウェアは、巧妙な感染手口とされ、感染したホストを使用不能にする可能性があります。迅速に発見されないと、組織に大きな損害を与える可能性があります。BlackCat ランサムウェアは、悪意のある実行ファイルを埋め込んだ Microsoft Office ファイルを介してダウンロードされています。このペイロードには、マルウェアが感染したネットワーク全体に拡散するためのコードが含まれており、WindowsとLinuxの両方のシステムを標的としています。

BlackCatランサムウェアは、標的のコンピュータ上のファイルを暗号化するために、Active Directory(AD)のユーザーおよび管理者アカウントを悪用することを目的とした「多段階」攻撃であると説明されています。さらに、BlackCat/ALPHVランサムウェアは、被害者のシステムへの最初のアクセスを得るために、以前に侵害されたユーザー認証情報を利用します。

BlackCat Ransomwareを防ぐには?

BlackCat Ransomwareの攻撃を防ぐための手動手順。

  1. ソフトウェアを定期的に更新する。ランサムウェアは通常、古いシステムやしばらく更新されていないシステムを狙うため、コンピュータで実行されているソフトウェアを確認し、最新の状態にしておくことが大切です。
  2. すべてのファイルを定期的にバックアップし、2つの異なる場所(2台の外付けハードディスクなど)に保存してください。そうすれば、1つのドライブが故障したり、マルウェアに感染したりしても、他のドライブやクラウド上の安全な場所に全ファイルのコピーが残ります。
  3. パスワードは他で再利用しない強固なものを使用し(特に異なるアカウントで複数回使用しない)、電子メールで送られてくるリンクは、たとえそれが信頼できる人からのものであっても決してクリックしないでください
  4. 身代金を支払ってはいけない!犯罪者にお金を払うことは、お金をドブに捨てるようなものです。ブロックを解除する唯一の方法は、先にお金を払うことだと彼らは主張しますが、それは嘘です。騙されないでください!
  5. Windowsに内蔵されているファイル復元ツールを使って、シャドーコピー(バックアップシステム)からファイルを復元してみてください。100%うまくいくとは限りませんが、試してみる価値はあります。このツールは、コントロールパネルの「システムの復元」で見つけることができます(すぐに見つからない場合は「システムの復元」を検索してください)。

BlackCat Ransomwareの攻撃を防ぐために導入することができるツール。

1. 良いニュースは、BlackCatランサムウェアからビジネスを保護するのに役立つ新しい技術があることです。DMARCです。

A DMARCポリシーは、電子メールの送信者が受信サーバーに対して、電子メールメッセージが正当なものであるかどうかを伝えることを可能にします。つまり、攻撃者が悪質なコードを添付したフィッシングメールを送信しようとしても、受信側のサーバーはそれが正規のドメイン所有者からのものではないことを認識し、被害が及ぶ前にそれを拒否することができるのです。

無料 DMARCアナライザー今日から

2.多要素認証(MFA)は、ハッカーをアカウントに近づけないようにしながら、ユーザーが自由にアクセスできるようにする方法です。2つ以上の情報を使って本人確認を行うことで、パスワードやその他の識別情報を盗んだ人物が、MFAによって発見されずにアカウントに侵入することがはるかに難しくなります。

3.ファイアウォールは、多くのBlackCatランサムウェアの攻撃から保護することができます。ファイアウォールは、オペレーティングシステムと連動して、ランサムウェアのような悪意のあるコードによるアクセスを含む、コンピュータへの不正アクセスをブロックするソフトウェアです。ほとんどのオペレーティング・システムにはファイアウォールが含まれていますが、ファイアウォールをお持ちでない場合や、より高度な保護が必要な場合は、無料のものが数多くあり、その多くは簡単にインストールすることができます。