ALPHV Blackcat
ALPHV は、BlackCat または Noberus という名前でも知られ、Ransomware as a Service (RaaS) 操作で使用されるランサムウェアの一種です。
ALPHV BlackCatの由来
Rustプログラミング言語を使用して開発されたALPHVは、Windows、Linux (Debian、Ubuntu、ReadyNAS、Synology)、VMWare ESXiを含む様々なオペレーティングシステム上で動作します。
このマルウェアはサイバー犯罪フォーラムでは ALPHV という名前で販売されていますが、セキュリティ研究者は、リークサイトに表示されている黒猫のアイコンにちなんで、BlackCat と呼ぶことが多いです。
ALPHVは、2021年11月18日にランサムウェア攻撃への導入が初めて確認されて以来、AESとChaCha20の両方のアルゴリズムをサポートし、その暗号化能力において多様性を示してきました。
ALPHVは、最大限の中断を保証するために、ボリュームシャドウコピーを削除し、プロセスとサービスを終了し、ESXiサーバ上の仮想マシンをシャットダウンすることができます。
さらに、PsExecを使用して他のホスト上でリモート実行することで、ローカルネットワークを越えて自己増殖する機能もあります。
ALPHV Blackcatは 2023 年 12 月に FBI によって阻止されました。
ALPHVの標的国
ALPHVの対象業界
研究者らは、BlackCatランサムウェアに関連する210件以上の発表を調査し、「専門・科学・技術サービス」および「製造」部門が主な標的であり、専門サービス業界の中では法律事務所とリーガルサービスが最も影響を受けていることを発見した。
ソース SOCradar
ALPHV Blackcatの被害対象
ALPHV Blackcat の攻撃方法
ALPHVは主に公開アプリケーションの脆弱性を標的とし、これらの欠陥を悪用してネットワークシステムに侵入すると考えられます。場合によっては、過去の侵害や認証情報の窃取によって入手した正規のドメインアカウントを利用してネットワークへの足掛かりを築くこともあります。
ネットワークに侵入すると、ALPHVはこれらの有効なドメインアカウントを利用して権限を昇格し、通常は管理者にしか与えられない上位レベルのアクセス権を自身に付与します。この権限昇格は、システムに対する制御を強化するために不可欠です。実行に関しては、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と拡散を促進します。
ALPHV は、検知を回避し、防御対応を妨害するために、自らの活動を検出またはブロックする可能性のあるセキュリティ ツールを積極的に無効化または変更します。これには、ウイルス対策プログラムの終了やセキュリティ サービスの無効化が含まれ、より攻撃に適した環境を作り出します。
ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。
ALPHVは主に公開アプリケーションの脆弱性を標的とし、これらの欠陥を悪用してネットワークシステムに侵入すると考えられます。場合によっては、過去の侵害や認証情報の窃取によって入手した正規のドメインアカウントを利用してネットワークへの足掛かりを築くこともあります。
ネットワークに侵入すると、ALPHVはこれらの有効なドメインアカウントを利用して権限を昇格し、通常は管理者にしか与えられない上位レベルのアクセス権を自身に付与します。この権限昇格は、システムに対する制御を強化するために不可欠です。実行に関しては、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と拡散を促進します。
ALPHV は、検知を回避し、防御対応を妨害するために、自らの活動を検出またはブロックする可能性のあるセキュリティ ツールを積極的に無効化または変更します。これには、ウイルス対策プログラムの終了やセキュリティ サービスの無効化が含まれ、より攻撃に適した環境を作り出します。
ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。
ALPHVが使用するTTP
Vectra AIでALPHVを検知する方法
よくある質問 (FAQ)
ALPHV BlackCatとは?
ALPHV BlackCatは、Noberusとしても知られており、Rustで記述された高度なランサムウェアの亜種で、Ransomware as a Service(RaaS)オペレーションで利用されています。Windows、Linux、VMWare ESXiなど、複数のオペレーティングシステムを標的とすることができます。
ALPHV BlackCatはどのようにしてネットワークにアクセスするのですか?
ALPHV BlackCatは通常、公開アプリケーションを悪用するか、侵害された可能性のある有効なドメインアカウントを使用することで、最初のアクセスを獲得します。
ALPHV BlackCatの主なターゲットは?
ALPHV BlackCat は主に専門・科学・技術サービスや製造業などの業界を対象としており、特に専門分野の法律事務所や法律サービスに重点を置いています。
ALPHV BlackCatはどのような暗号化アルゴリズムを使用していますか?
ALPHV BlackCatは、AESまたはChaCha20暗号化アルゴリズムを使用して被害者データをロックするように設定できます。
ALPHV BlackCatはどのようにして検知を逃れるのか?
このランサムウェアは、セキュリティ・ツールを無効にしたり、システム・プロセスを変更したりして防御策を妨げるなど、検知を逃れるためのさまざまなテクニックを駆使している。
ALPHVのBlackCat攻撃から組織を守るために何ができるか?
組織は、定期的なパッチ適用、高度なエンドポイント保護の使用、従業員のセキュリティ意識向上トレーニングの実施、Vectra AI のような AI 主導型脅威検知プラットフォームの導入など、強力なセキュリティ対策を実装して、脅威をより効果的に検知し、対応する必要があります。
ALPHV BlackCatは影響を受けるシステムにどのような影響を与えるか?
ALPHV BlackCat の影響には、重要なファイルの暗号化、ボリューム シャドウ コピーの削除、重要なサービスと仮想マシンの停止などがあり、混乱を最大限に引き起こして被害者に身代金を支払わせようとします。
ALPHV BlackCatには自己増殖能力はありますか?
はい、ALPHV BlackCat は PsExec などのツールを使用してネットワーク内で自己増殖し、ローカル ネットワーク内の他のホストでリモート実行できます。
ITチームはALPHV BlackCat感染にどう対応すべきか?
影響を受けたシステムの即時隔離、漏洩した認証情報の特定と失効、ランサムウェアの存在の根絶、バックアップからの復旧は、将来の侵害を防ぐための徹底的な調査と並んで重要なステップである。
AI主導のALPHV BlackCat対策において、脅威検知はどのような役割を果たすのか?
Vectra AI などの AI 主導型脅威検知プラットフォームは、悪意のある動作を示すパターンや異常を分析することで、ALPHV BlackCat の活動やその他の高度な脅威の微妙な兆候を特定し、より迅速かつ効果的な対応を可能にする上で重要な役割を果たします。