米国連邦捜査局(FBI: Federal Bureau of Investigation)は2022年2月11日(米国時間)、USセキュリティサービスと共同で、ランサムウェアグループ「BlackByte」による被害に関するサイバーセキュリティアドバイザリを公開した。アドバイザリによると、2021年11月時点で少なくとも米国の3つの重要なインフラ組織を含む複数の企業がBlackByteによる侵害を受けたことが判明したという。
-
FBIとUSセキュリティサービスによる共同サイバーセキュリティアドバイザリ
BlackByteは、Windowsシステムを対象としたランサムウェアをサービスとして提供しているRaaS(Ransomware as a Service)グループである。攻撃者はシステムの侵害してネットワークにアクセスできるようになると、ネットワーク上を横方向に展開するツールを配備して、暗号化の前にファイルの盗み出しや特権昇格などを実施するという。最初の侵害にはMicrosoft Exchange Serverの脆弱性が悪用されたという報告もある。
FBIのアドバイザリには、システム管理者が侵害の形跡を検出するための詳細な情報や、侵害されたMicrosoft IISサーバで発見された疑わしいASPXファイルMD5ハッシュといった情報が含まれている。また、研究者によって観察された、ランサムウェアのオペレーターが用いたと思われるコマンドのリストも掲載されている。
それに加えてアドバイザリでは、ランサムウェアによる攻撃からシステムを守るための一般的な緩和先を挙げ、いま一度対策を見直してセキュリティを強化するよう呼びかけている。
