Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW
最新レポート

Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. ランサムウェア・グループ

ALPHVBlackcat

ALPHVは、BlackCatまたはNoberusという名前でも知られており、Ransomware as a Service(RaaS)オペレーションで使用されるランサムウェア株です。

検知 ALPHVが使用したTTP
貴社はALPHV攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

ALPHV BlackCatの由来

Rustプログラミング言語を使用して開発されたALPHVは、Windows、Linux(Debian、Ubuntu、ReadyNAS、Synology)、VMWare ESXiを含む様々なオペレーティングシステム上で動作します。

サイバー犯罪フォーラムではALPHVという名前で販売されているが、セキュリティリサーチャーたちは、流出サイトに表示されている黒猫のアイコンにちなんでBlackCatと呼ぶことが多い。

ALPHVは、2021年11月18日にランサムウェア攻撃への導入が初めて確認されて以来、AESとChaCha20の両方のアルゴリズムをサポートし、その暗号化能力において多様性を示してきた。

ALPHVは、最大限の中断を保証するために、ボリュームシャドウコピーを削除し、プロセスとサービスを終了し、ESXiサーバ上の仮想マシンをシャットダウンすることができます。

さらに、PsExecを使用して他のホスト上でリモート実行することで、ローカルネットワークを越えて自己増殖する機能もある。

ALPHVBlackcat 、2023年12月にFBIによって妨害された。

ソース: OCD

ALPHVの対象国

ALPHVBlackcat 主にアメリカをターゲットとし、ドイツ、フランス、スペイン、オランダなどのヨーロッパ諸国がそれに続く。

ソース:ランサムウェア・ライブ

ALPHVの対象産業

研究者は、BlackCatランサムウェアに関連する210件以上の発表を調査し、「専門・科学・技術サービス」と「製造業」が主な標的であり、専門サービス業界では法律事務所と法律サービスが最も被害を受けていることを発見した。

ソース SOCradar

Manufacturing

Financial Services and Banking

Pharmaceuticals and Medical Devices

ALPHVBlackcat'犠牲者

731人の被害者がALPHVの悪質な作戦の餌食となっている。

出典:ransomware.live

攻撃方法

ALPHVBlackcat の攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

ALPHVは、主に公衆向けアプリケーションの脆弱性を狙い、これらの欠陥を悪用してネットワークシステムに侵入する可能性が高い。ALPHVはまた、ネットワークへの足がかりを得るために、過去の侵害やクレデンシャルの窃盗によって入手された可能性のある、正当なドメイン・アカウントを利用するケースもある。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワーク内部に侵入すると、ALPHVは同じ有効なドメインアカウントを活用することで、通常管理者用に確保されているより高いレベルのアクセス権を自らに付与し、権限をエスカレートさせる。このエスカレーションは、システムに対する制御を深めるために非常に重要です。実行の面では、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と増殖を促進します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

検知を回避し、防御的な対応を妨げるために、ALPHVは、検知 、その活動をブロックする可能性のあるセキュリティツールを積極的に無効化または変更する。これには、アンチウイルスプログラムの終了やセキュリティサービスの無効化などが含まれ、ALPHVの活動により寛容な環境を作り出す。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

ALPHVは、主に公衆向けアプリケーションの脆弱性を狙い、これらの欠陥を悪用してネットワークシステムに侵入する可能性が高い。ALPHVはまた、ネットワークへの足がかりを得るために、過去の侵害やクレデンシャルの窃盗によって入手された可能性のある、正当なドメイン・アカウントを利用するケースもある。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

ネットワーク内部に侵入すると、ALPHVは同じ有効なドメインアカウントを活用することで、通常管理者用に確保されているより高いレベルのアクセス権を自らに付与し、権限をエスカレートさせる。このエスカレーションは、システムに対する制御を深めるために非常に重要です。実行の面では、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と増殖を促進します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

検知を回避し、防御的な対応を妨げるために、ALPHVは、検知 、その活動をブロックする可能性のあるセキュリティツールを積極的に無効化または変更する。これには、アンチウイルスプログラムの終了やセキュリティサービスの無効化などが含まれ、ALPHVの活動により寛容な環境を作り出す。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。

MITRE ATT&CK マッピング

ALPHVが使用したTTP

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1558
Steal or Forge Kerberos Tickets
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIによる検知 ALPHVの方法

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

貴社はALPHV攻撃に対して安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

ALPHV BlackCatとは?

ALPHV BlackCatはどのようにしてネットワークにアクセスするのですか?

ALPHV BlackCatの主なターゲットは?

ALPHV BlackCatはどのような暗号化アルゴリズムを使用していますか?

ALPHV BlackCatはどのようにして検知を逃れるのか?

ALPHVのBlackCat攻撃から組織を守るために何ができるか?

ALPHV BlackCatは影響を受けるシステムにどのような影響を与えますか?

ALPHV BlackCatには自己増殖能力はありますか?

ITチームはALPHV BlackCat感染にどう対応すべきか?

AI主導のALPHV BlackCat対策において、脅威検知はどのような役割を果たすのか?