アメリカ連邦調査局(FBI: Federal Bureau of Investigation)は4月19日(米国時間)、「FBI FLASH - BlackCat/ALPHV Ransomware Indicators of Compromise」において、ランサムウェア「BlackCat/ALPHV」に関する注意喚起を行った。サイバー攻撃者の悪意ある脅威行動からユーザーを保護するためとして、この脅威に関するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)が公開されている。
このFBI FLASHにおいて、該当する脅威と関連している疑いがあるとされるファイルは次のとおり。
- amd - Copy.ps1
- ipscan.ps1
- Run1.ps1
- [###].ps1
- [##].ps1
- [#].ps1
- CME.ps1
- Run1.ps1
- mim.ps1
- psexec.ps1
- Systems.ps1
- System.ps1
- CheckVuln.bat
- Create-share-RunAsAdmin.bat
- LPE-Exploit-RunAsUser.bat
- RCE-Exploit-RunAsUser.bat
- est.bat
- runav.bat
- http_x64.exe
- spider.dll
- spider_32.dll
- powershell.dll
- rpcdump.exe
- mimikatz.exe
- run.exe
- zakrep_plink.exe
- beacon.exe
- win1999.exe
- [compromised company].exe
- test.exe
- xxx.exe
- xxxw.exe
- Mim.exe
- crackmapexec.exe
- plink.exe
- Services.exe
- Systems.exe
- PsExec64.exe
また、FBI FLASHにおいて該当する脅威と関連している疑いがあるとされるIPアドレスは次のとおり。
- 89.44.9.243
- 142.234.157.246
- 45.134.20.66
- 185.220.102.253
- 37.120.238.58
- 152.89.247.207
- 198.144.121.93
- 89.163.252.230
- 45.153.160.140
- 23.106.223.97
- 139.60.161.161
- 146.0.77.15
- 94.232.41.155
FBIは、企業が操業停止の危機に直面した場合に株主や従業員、顧客を保護するためにあらゆる選択肢を検討することを理解しているとしつつも、サイバー犯罪者に対して身代金を支払うことに関しては推奨できないと説明している。身代金の支払いはサイバー犯罪者がさらに別の犯罪を犯すことを助長する可能性があると指摘するとともに、身代金を支払ったとしても暗号化されてしまったファイルが復元されるとは限らないと説明されている。
FBIは、身代金の支払いに応じるかどうかにかかわらず、ランサムウェアインシデントについて最寄りの支局へ報告するように呼びかけている。報告することで捜査官やアナリストによる追跡が可能となり、今後のサイバー攻撃の防止へつなげることができるとしている。