BlackCat マルウェア (AKA ALPHV)

2021年11月に初めて検出されたBlackCat（別名ALPHV、Noberus）は、2021年および2022年において最も巧妙かつ脅威的なマルウェアの1つと見なされています。しかし、BlackCatの電撃的なキャンペーンは2022年後半にピークを迎え、記録された感染数は28%減少しました。 

BlackCatは、Rustプログラミング言語で書かれた最初の著名なマルウェアであり、その高いパフォーマンスとメモリ安全性により人気が高まっている新しい言語である。BlackCatはまた、WindowsおよびLinuxベースのオペレーティング・システムを危険にさらすことができるという、もう一つの能力も誇っている。

BlackCatは、ロシア語を話すサイバー犯罪者グループALPHVによって、ランサムウェア・アズ・ア・サービス（RaaS）として運営されています。そのキャンペーンでは、感染したファイルの復号化、盗まれたデータの公開、サービス妨害（DoS）攻撃を行わないことの3つを要求するという、三重の恐喝戦術がしばしば用いられます。2021年11月から2022年9月までの間に約200の企業組織に侵入したBlackCatは、金融、製造、法律、および専門サービス業界の企業を標的とすることが最も多いのですが、BlackCatの悪用はあらゆる業界に及んでいます。

BlackCatは、そのソースコードやユーザーに関して、ランサムウェアの亜種であるBlackMatterやDarkSideに関連しています。BlackCatの運営者は、ダークネットフォーラムのXSS、Exploit Forum、RAMP5などのプライベートフォーラムで、潜在的なアフィリエイターに対してこのランサムウェアを宣伝し、仲間に加わってくれる新たなサイバー犯罪者を探しています。

BlackCat攻撃の第一段階は、フィッシング、ブルートフォース、不正に購入された認証情報（典型的にはリモート・デスクトップ・プロトコル（RDP）接続や仮想プライベート・ネットワーク（VPN）サービス用）、およびCVEとして公開されている脆弱性（CVE-2019-7481など）に依存しています。 

BlackCatによる攻撃の第2段階は、通常、BlackCatがコントロールするコマンド＆コントロール（C2）インフラへの逆方向SSHトンネルを確立することから始まります。そこからの攻撃は完全にコマンドライン主導で行われ、人間が操作し、高度な設定が可能です。感染後のBlackCatの主要な指令は、PsExecを使用して被害者のネットワーク内で横方向に移動し、Active Directoryのユーザーおよび管理者アカウントを攻撃し、機密ファイルを流出および暗号化することです。

BlackCatの主要なペイロードは、"Rust "プログラミング言語で書かれた最初の既知のマルウェアであり、WindowsとLinuxベースのシステムの両方に感染します。BlackCat は、XP 以降（Windows 11 を含む）のすべてのバージョンの Windows、2008 年以降の Windows Server、Debian および Ubuntu Linux、ESXI 仮想化ハイパーバイザー、ReadyNAS および Synology ネットワーク接続ストレージ製品に対して有効です。

• ESXi VMの停止とバックアップESXスナップショットの削除
• PowerShellを使用してWindows Defenderを無効にする、またはセキュリティ設定を変更して特定の機能を無効にする
• PsExecを使ってActive Directoryのユーザーと管理者アカウントを攻撃する
• 侵入テストツールCobaltStrikeをインストールし、それを使って同じネットワーク上の他のシステムに横移動する。 
• VMハイパーバイザーのようなマルウェア解析ツールを検出し、そのプロセスを停止させることで、マルウェアのソースコードを防止する。
• Fendr（別名ExMatter）と呼ばれるソフトウェアツールを使って、.PDF、.DOC、.DOCX、.XLS、.TXT、.BMP、.RDP、.SQL、.ZIPなどのファイルを流出させる。
• 対象ファイルが暗号化されたWindowsシャドウコピーバックアップの削除
• バイナリの内容やシグネチャを変更することで、マルウェア検知製品を回避する。

BlackCatはまた、JSONコンフィギュレーション・ファイルで定義された高度にモジュール化された暗号化スキームを持っており、各キャンペーンで一意のキーを使用することができます。また、高速なファイル暗号化のためのマルチスレッド処理と、あらゆる復号化の試みを阻止するためのマルチパスAES-128暗号化の両方を備えています。BlackCatはまた、暗号化の効率を高めるために、断続的な暗号化（または部分的な暗号化）を採用しています。BlackCatには設定可能な暗号化モードがいくつかあり、暗号化するバイト数や暗号化するファイルのパーセンテージを指定したり、ファイルの先頭からのモジュラスオフセットを使用して個々のバイトを暗号化する「スマートパターン」テクニックを使用することで、ファイルを部分的に暗号化することができます。暗号化モジュールには、各ファイルの拡張子に基づいて暗号化モードが選択される「Auto」設定もあり、BlackCatはファイルの内容に応じて最も効率的に身代金を要求することができます。

BlackCatから身を守るには、新手のテクニックを検出してブロックするエンドポイントセキュリティを含む、強力な企業サイバーセキュリティプログラムが必要です。以下は、BlackCat攻撃を軽減するための防御戦術です：

• Officeアプリケーションが、「通知なしですべてのマクロを無効にする 」または「デジタル署名されたマクロ以外を無効にする 」設定で構成されていることを確認する。
• すべてのリモートアクセスサービスに強力なパスワードと多要素認証（MFA）を義務付け、すべてのデフォルトパスワードが変更されていることを確認する。
• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• セキュリティ製品、オペレーティング・システム、アプリケーションなど、IT環境全体にアップデートとセキュリティ・パッチが適用されていることを確認する。
• ブルートフォース（総当たり）試行のネットワーク・アクティビティを監視し、重要なサービスの認証試行を制限する。
• 最小特権、重要サービスのセグメンテーション、役割ベースのアクセス制御、多要素認証、深層防御を含む強力なネットワーク・セキュリティを導入し、盗まれた認証情報の潜在的な損害を減らす。 
• PsExecが横移動に使用されないように、Windowsレジストリを設定し、ユーザーアカウント（UAC）を要求してPsExecへのアクセスを制限する。
• ランサムウェア攻撃に対する耐性を確保するため、強力なバックアップ戦略を策定し、維持する。
• トラフィック急増時やDDOS攻撃時のパフォーマンスを最適化するために、セキュリティモジュールでウェブサーバやAPIを構成するか、インターネットサービスプロバイダ（ISP）、コンテンツデリバリネットワーク（CDN）、ウェブアプリケーションファイアウォール（WAF）プロバイダからDDOS緩和サービスを購入する。