貴社はALPHV攻撃に対して安全ですか？

ALPHV BlackCatの由来

Rustプログラミング言語を使用して開発されたALPHVは、Windows、Linux（Debian、Ubuntu、ReadyNAS、Synology）、VMWare ESXiを含む様々なオペレーティングシステム上で動作します。

サイバー犯罪フォーラムではALPHVという名前で販売されているが、セキュリティリサーチャーたちは、流出サイトに表示されている黒猫のアイコンにちなんでBlackCatと呼ぶことが多い。

ALPHVは、2021年11月18日にランサムウェア攻撃への導入が初めて確認されて以来、AESとChaCha20の両方のアルゴリズムをサポートし、その暗号化能力において多様性を示してきた。

ALPHVは、最大限の中断を保証するために、ボリュームシャドウコピーを削除し、プロセスとサービスを終了し、ESXiサーバ上の仮想マシンをシャットダウンすることができます。

さらに、PsExecを使用して他のホスト上でリモート実行することで、ローカルネットワークを越えて自己増殖する機能もある。

ALPHVBlackcat 、2023年12月にFBIによって妨害された。

ターゲット

ALPHVの目標

ALPHVの対象国

ALPHVBlackcat 主にアメリカをターゲットとし、ドイツ、フランス、スペイン、オランダなどのヨーロッパ諸国がそれに続く。

^ソース^{パロアルト}

ALPHVの対象産業

研究者は、BlackCatランサムウェアに関連する210件以上の発表を調査し、「専門・科学・技術サービス」と「製造業」が主な標的であり、専門サービス業界では法律事務所と法律サービスが最も被害を受けていることを発見した。

^ソース^SOCradar

ALPHVの対象産業

研究者は、BlackCatランサムウェアに関連する210件以上の発表を調査し、「専門・科学・技術サービス」と「製造業」が主な標的であり、専門サービス業界では法律事務所と法律サービスが最も被害を受けていることを発見した。

^ソース^SOCradar

ALPHVBlackcat'犠牲者

現在までに724人以上の被害者がALPHVの悪質な作戦の餌食になっている。

^ソース^{ランサムウェア・ライブ}

攻撃方法

ALPHVBlackcat の攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

ALPHVは、主に公衆向けアプリケーションの脆弱性を狙い、これらの欠陥を悪用してネットワークシステムに侵入する可能性が高い。ALPHVはまた、ネットワークへの足がかりを得るために、過去の侵害やクレデンシャルの窃盗によって入手された可能性のある、正当なドメイン・アカウントを利用するケースもある。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワーク内部に侵入すると、ALPHVは同じ有効なドメインアカウントを活用することで、通常管理者用に確保されているより高いレベルのアクセス権を自らに付与し、権限をエスカレートさせる。このエスカレーションは、システムに対する制御を深めるために非常に重要です。実行の面では、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と増殖を促進します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

検知を回避し、防御的な対応を妨げるために、ALPHVは、検知、その活動をブロックする可能性のあるセキュリティツールを積極的に無効化または変更する。これには、アンチウイルスプログラムの終了やセキュリティサービスの無効化などが含まれ、ALPHVの活動により寛容な環境を作り出す。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。

初期アクセス

ALPHVは、主に公衆向けアプリケーションの脆弱性を狙い、これらの欠陥を悪用してネットワークシステムに侵入する可能性が高い。ALPHVはまた、ネットワークへの足がかりを得るために、過去の侵害やクレデンシャルの窃盗によって入手された可能性のある、正当なドメイン・アカウントを利用するケースもある。

特権エスカレーション

ネットワーク内部に侵入すると、ALPHVは同じ有効なドメインアカウントを活用することで、通常管理者用に確保されているより高いレベルのアクセス権を自らに付与し、権限をエスカレートさせる。このエスカレーションは、システムに対する制御を深めるために非常に重要です。実行の面では、ALPHVはWindowsコマンドシェルを利用して悪意のあるコマンドやスクリプトを実行し、ランサムウェアの展開と増殖を促進します。

防御回避

検知を回避し、防御的な対応を妨げるために、ALPHVは、検知、その活動をブロックする可能性のあるセキュリティツールを積極的に無効化または変更する。これには、アンチウイルスプログラムの終了やセキュリティサービスの無効化などが含まれ、ALPHVの活動により寛容な環境を作り出す。

クレデンシャル・アクセス

ディスカバリー

横の動き

コレクション

実行

データ流出

インパクト

ALPHVが侵害されたシステムに与える影響は深刻で、強固な暗号化アルゴリズムを使用して重要なデータを暗号化するため、ユーザーはファイルにアクセスできなくなります。さらに、シャドウコピーを削除し、リカバリツールを無効にすることで、システムの回復努力を弱体化させるため、混乱はさらに深刻化し、被害者はデータへのアクセスを回復するための身代金要求に応じざるを得なくなります。

MITRE ATT&CK マッピング

ALPHVが使用したTTP

ALPHVは、ランサムウェア攻撃に対して、侵入サイクルのさまざまな段階にわたって有効性を確保しながら、理路整然とした多面的なアプローチを示している。

TA0001: Initial Access

T1190

Exploit Public-Facing Application

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1558

Steal or Forge Kerberos Tickets

T1555

Credentials from Password Stores

T1552

Unsecured Credentials

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

T1657

Financial Theft

T1486

Data Encrypted for Impact

プラットフォーム検出

Vectra AIによる検知 ALPHVの方法

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

攻撃の危険性を評価する

よくあるご質問(FAQ)

ALPHV BlackCatとは？

ALPHV BlackCatは、Noberusとしても知られており、Rustで記述された高度なランサムウェアの亜種で、Ransomware as a Service（RaaS）オペレーションで利用されています。Windows、Linux、VMWare ESXiなど、複数のオペレーティングシステムを標的とすることができます。

ALPHV BlackCatはどのようにしてネットワークにアクセスするのですか？

ALPHV BlackCatは通常、公開アプリケーションを悪用するか、侵害された可能性のある有効なドメインアカウントを使用することで、最初のアクセスを獲得します。

ALPHV BlackCatの主なターゲットは？

ALPHV BlackCatは、主に専門・科学・技術サービスや製造業を対象としており、特に法律事務所やプロフェッショナル・セクターの法律サービスに重点を置いている。

ALPHV BlackCatはどのような暗号化アルゴリズムを使用していますか？

ALPHV BlackCatは、AESまたはChaCha20暗号化アルゴリズムを使用して被害者データをロックするように設定できます。

ALPHV BlackCatはどのようにして検知を逃れるのか？

このランサムウェアは、セキュリティ・ツールを無効にしたり、システム・プロセスを変更したりして防御策を妨げるなど、検知を逃れるためのさまざまなテクニックを駆使している。

ALPHVのBlackCat攻撃から組織を守るために何ができるか？

組織は、定期的なパッチ適用、高度なエンドポイントプロテクションの使用、従業員のセキュリティ意識向上トレーニングの実施、検知、より効果的に脅威に対応するためのVectra AI のようなAI主導の脅威検知プラットフォームの導入など、強固なセキュリティ対策を実施すべきである。

ALPHV BlackCatは影響を受けるシステムにどのような影響を与えますか？

ALPHV BlackCatの影響には、重要なファイルの暗号化、ボリューム・シャドー・コピーの削除、重要なサービスや仮想マシンの停止などが含まれ、混乱を最大化し、被害者に身代金の支払いを迫る。

ALPHV BlackCatには自己増殖能力はありますか？

はい、ALPHV BlackCatはPsExecのようなツールを使ってネットワーク内で自己増殖し、ローカルネットワーク内の他のホスト上でリモート実行することができます。

ITチームはALPHV BlackCat感染にどう対応すべきか？

影響を受けたシステムの即時隔離、漏洩した認証情報の特定と失効、ランサムウェアの存在の根絶、バックアップからの復旧は、将来の侵害を防ぐための徹底的な調査と並んで重要なステップである。

AI主導のALPHV BlackCat対策において、脅威検知はどのような役割を果たすのか？

AI主導 Vectra AIなどの脅威検知プラットフォームは、悪意のある行動を示すパターンや異常を分析することで、ALPHV BlackCatの活動やその他の巧妙な脅威の微妙な兆候を特定し、より迅速で効果的な対応を可能にする上で重要な役割を果たします。

貴社はALPHV攻撃に対して安全ですか？

攻撃の危険性を評価する