BlackCatの入口

BlackCatはランサムウェアの名前であり、そのランサムウェアをRaaS（Ransomware-as-a-Service）として展開する犯罪組織の名前でもあります。
BlackCatはALPHVの別名です。ALPHVという名前のほうなら知っているという人もいるでしょうか。
BlackCatは2021年冬に多く観測されるようになりましたが、当時そのマルウェアの侵入経路はなかなか明らかになりませんでした。
ランサムウェア被害にあった現場ではいろいろな活動を早急に実施することが求められることもあり、根本原因分析は実際には容易ではないケースも多くあります。

しかしいくつかの入口のパターンが明らかになってきました。

• Exchange
  パッチが適用されていないExchangeをその入り口とするパターンです。
  Exchangeのリモートコード実行の脆弱性を悪用し、コマンドを実行し、アカウント情報を入手します。
  同じくリモートコード実行でアカウント情報を取得していることを示す活動に関連するファイルを削除します。
  関連するファイルということですのでログファイルなどでしょうか。
  侵入するためのアカウント情報が入手出来てしまえばあとはお約束のコースです。
  横展開し、マルウェアを広く配置し、情報を抜き取ります。
  抜き取り終わったら暗号化します。
  脅迫文を配置したら完了です。
• リモートデスクトップサーバー
  侵害された資格情報を使ってリモートデスクトップサーバーから入ってくるパターンです。
  接続できてしまえばあとは真っ逆さまに落ちていきます。
  認証を平文で実施することを許可する設定変更を実施し、平文でやり取りされてしまうパスワードを盗みます。
  永続化の機構を仕掛けます。
  そして横展開して盗んで暗号化して脅迫です。

BlackCatですが、内部での活動を開始されてしまうと、もう手が付けられません。
どの脅威もそういう傾向です。

やはり肝心なのは適切なパッチ適用の運用と、アクセス状況の把握だと思われます。
攻撃対象の機器上では解析に必要な痕跡を削除されてしまうことも多くなっていますので、ネットワークを使用した記録システムの準備やそれによる監視が有効です。
転ばぬ先の杖ですね。

参考記事（外部リンク）：The many lives of BlackCat ransomware
www.microsoft.com/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/