米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月18日(米国時間)、「BlackMatter Ransomware |CISA」において、米国のCISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)、連邦捜査局(FBI)、および国家安全保障局(NSA)が共同で、「BlackMatter」と呼ばれるランサムウェアに関するサイバーセキュリティアドバイザリを「Alert (AA21-291A)」リリースしたと伝えた。BlackMatterは2021年7月以降に活発化してきたことが報告されているランサムウェアで、AA21-291AではBlackMatterを使用する脅威アクターの戦術分析や攻撃技術(TPP)、推奨される緩和策などがまとめられている。
Alert (AA21-291A)の全文は次のページで読むことができる。
-
Alert (AA21-291A): BlackMatter Ransomware
アドバイザリによると、2021年7月に最初に発見されたBlackMatterは、ランサムウェアが実際の攻撃アクターにランサムウェア機能を提供することで利益を得る「RaaS: Ransomware as a Service」タイプのツールだという。その攻撃の傾向から、2020年9月から2021年5月までアクティブだったRaaS「DarkSide」のブランド変更の可能性があると指摘されている。
BlackMatterはターゲットのホストに感染すると、実行中のサービスやプロセスを列挙した上で、LDAPおよびSMBプロトコルに埋め込まれた資格情報を使用してアクセス可能なすべての共有ホストを検出する。そして検出された共有ホストに対してSMBプロトコルを介してリモートで暗号化を行う。バックアップシステムに対しては、暗号化ではなくワイプ(消去)や再フォーマットを行う可能性があるという。
CISA、FBI、およびNSAでは、BlackMatterランサムウェアによる侵害のリスクを軽減するために次の緩和策を実施することを呼びかけている。
- BlackMatterのアクティビティを検出するための検出シグニチャを実装する
- パスワードログインのあるすべてのアカウントで強力なパスワードを使用する
- すべてのサービスのアカウントに対して多要素認証を実装する
- すべてのOSとソフトウェアを最新の状態に保つ
- 管理共有への不要なアクセスを排除するなど、ネットワークを介したリソースへのアクセスを制限する
- ネットワーク監視ツールを使用して、ネットワークセグメンテーションとトラバーサルモニタリングを実装する
- 管理者無効化ツールを使用して、IDおよび特権アクセスの管理をサポートする
- バックアップと復元のポリシーと手順を作成し、それを実施する
企業がランサムウェアの被害に遭った場合、ビジネスの継続が困難になり、取り返しのつかない甚大な損害を被る可能性がある。攻撃グループはデータの復旧と引き換えに身代金の要求をしてくる場合があるが、身代金を支払ったとしても被害を受けたデータが正しく回復されるという保証はない。そのため、身代金を支払うことは推奨されていない。
したがって、ランサムウェアに対しては被害を受ける前に対策を強化することが重要となる。ランサムウェア攻撃のリスクを緩和する一般的な対策については、CISAが公開している次のガイドライン(PDF文書)も参考にするといいだろう。
