12月19日、米国司法省は、FBIがALPHV、Noberus、またはBlackCatとして知られるランサムウェア集団に対する妨害作戦に取り組んでいると発表した。その結果、同集団の複数のウェブサイトが押収され、ネットワークの可視性が向上し、盗まれたデータを復元できる復号ツールも入手できた。オーストラリア、デンマーク、ドイツ、スペイン、英国の国際法執行機関が参加した。
ジャンプ先:
- ALPHV/BlackCatとは何ですか?
- 国際法執行機関がランサムウェアグループを捜査し、サイトを一時的に閉鎖
- BlackCatがウェブサイトを「差し押さえ解除」したと報道
- ランサムウェア・アズ・ア・サービスから身を守る方法
ALPHV/BlackCatとは何ですか?
ALPHV/BlackCatは、2021年からランサムウェアで知られているグループです。同名のランサムウェアは、Rustプログラミング言語で記述されています。様々なOS向けにカスタマイズできるため、幅広い標的に対して有効です。ALPHV/BlackCatはランサムウェア・アズ・ア・サービス(RaaS)を運営し、サービスを販売するとともに、それらを中心に広告主エコシステムを運営しています。
「最近の展開では、攻撃者と法執行機関の間での『猫とネズミ』の駆け引きが続いており、インフラの再押収が進行中であるほか、ランサムウェアの使用に関する『ルール』を削除して関係者が病院や発電所を攻撃できるようにするというグループからのさらなる脅迫がある」とシンプソン氏は述べた。
「LockBitのような他のランサムウェアグループも、今回の混乱に乗じてBlackCatの元メンバーを自らの活動に誘い込もうとしています」とシンプソン氏は述べています。「これは、ランサムウェアを取り巻く状況の複雑さと、ランサムウェアの脅威を完全に根絶しようとする際の課題を如実に表しています。」
国際法執行機関がランサムウェアグループを捜査し、サイトを一時的に閉鎖
12月19日、ダークウェブ上のBlackCatのリークサイトは押収され、閉鎖された。しかし、12月19日の夜までに、ランサムウェアグループはサイトの「押収解除」を行い、その所有権をめぐって脅威アクターと当局の間で綱引きが繰り広げられることになった。
FBIは500人以上の被害者に復号ツールを提供しています。これまでに、組織は約6,800万ドルの身代金要求を免れています。
参照: 新たなソーシャルエンジニアリングの脅威は、興味のある候補者を装って採用担当者をターゲットにします (TechRepublic)
BlackCat の牙と Web サイトを削除すれば、ランサムウェア グループが盗めるデータの量自体が減り、そのデータを闇市場の買い手に売る市場も失われることになる。
BlackCat のウェブサイトの 1 つは「一般コレクション」で、盗まれたデータの検索可能なデータベースでした。
「BlackCat/Alphvランサムウェア攻撃の終結は、サイバー犯罪アンダーグラウンドにおける大きな進展です」と、サーチライト・サイバーの脅威インテリジェンス担当ディレクター、ジム・シンプソン氏はTechRepublicへのメールコメントで述べています。「この(ランサムウェア・アズ・ア・サービス)グループは、私たちが追跡しているグループの中でも最も活発で破壊的な活動を行っているグループの一つです。二重の脅迫を行い、さらに他のグループよりも一歩進んで、『一般収集』を通じて被害者に圧力をかけています。」
BlackCatがウェブサイトを「解除」したと報道
12月19日、Bleeping ComputerはBlackCatのダークウェブサイトに新たなメッセージが表示されたと報じた。ウェブサイトは「押収解除」された。BlackCatはルールの大部分を緩和し、特に重要インフラや病院への攻撃を禁止した。残るルールは、ロシアを含む旧ソ連諸国の連合体である独立国家共同体(CIS)への攻撃を支援しないというものだった。
ランサムウェア・アズ・ア・サービスから身を守る方法
大規模なランサムウェア攻撃者がビジネスシステムに侵入するのを防ぐため、組織は悪意のあるコード実行の防止に関するセキュリティのベストプラクティスに従う必要があります。以下のヒントは、組織がRaaS(ランサムウェア・アズ・ア・サービス)攻撃を回避するのに役立ちます。
- システムを最新の状態に保ってください。
- クラウド資産と潜在的な脆弱性に注意してください。
- 多要素認証を導入します。
- 監査資格情報。
- セグメントアカウント情報。
