BlackMatter ランサムウェア検出

BlackMatterランサムウェアが台頭し、米国、ヨーロッパ、アジアの著名な標的を襲っています。悪名高いDarkSideハッカー集団の分派であるBlackMatterは、2021年7月にランサムウェアの大規模なゲームに突入するために、その前身から最も精力的な戦術を採用しました。共同 勧告 CISA、FBI、NSAによると、BlackMatterが米国の重要なインフラ資産に対する複数の攻撃を行ったとされています。また、セキュリティ専門家は、BlackMatterランサムウェアグループが画期的なColonial Pipelineハックに関与していた可能性があると指摘しています。

BlackMatterランサムウェア

2021年7月に初めて確認されたBlackMatterは、高額な利益を追求する新たなランサムウェア・アズ・ア・サービス（RaaS）リングです。悪意のある領域では新参者にもかかわらず、BlackMatterはすでに多数の著名な組織を標的としており、2つの米国食糧農業セクターの組織や日本の光学技術の巨人Olympusのヨーロッパ事業も含まれています。身代金の要求額は80,000ドルから15,000,000ドルのビットコインおよびMoneroに及び、BlackMatterが大きな成功を目指していることを示しています。

BlackMatterの悪名を高めるために、ランサムウェアの維持者は二重の強要トレンドを支持しています。ハッカーは攻撃中に機密データを暗号化するだけでなく、機密情報も盗みます。その結果、企業はデータ漏洩を防ぐために身代金を支払うように促されます。

セキュリティ専門家は、BlackMatterがマルウェア分析中に観察されたコードと技術の重なりから、悪名高いDarkSideグループのリブランドである可能性があると考えています。しかし、BlackMatterの維持者は他のマルウェアの最良のアプローチを採用した開発者の独立したグループであると主張しています。 GandCrab, LockBit、 DarkSide. 

攻撃キルチェーン

CISAによると、BlackMatterは最初の妥協のために埋め込まれた管理者またはユーザーの資格情報を活用しています。特にLDAPとSMBプロトコルに埋め込まれた資格情報を使ってActive Directory(AD)内のすべてのホストを発見し、srvsvc.NetShareEnumAll Microsoftリモートプロシージャコール(MSRPC)関数を使用してアクセス可能な共有を列挙します。その後、BlackMatterは、最初に妥協されたホストからアクセス可能なすべての共有データをリモートで暗号化し、ADMIN$、C$、SYSVOL、NETLOGONを含みます。

さらに、BlackMatterはLinuxおよびESXi仮想マシンに対する攻撃で成功を収めたと識別されました。脅威は別個の暗号化バイナリを使用し、バックアップシステムを暗号化するのではなく、バックアップデータストアやアプライアンスを消去または再フォーマットします。

特に、2021年10月にサイバーセキュリティ企業の Emisoftは重大なバグを明らかにしました BlackMatterコードで、研究者がBlackMatterランサムウェアの被害者用の復号化ツールを生成できるバグで、Emisoftは直ちに法執行機関、CERTS、および信頼できるパートナーに通知し、組織が身代金を支払うことなくデータを無料で復元できるようにしました。しかし、BlackMatterの維持者は2021年9月末にこのバグを知り、すぐに修正しました。したがって、既存の復号化ツールは、2021年9月以前に攻撃を受けた被害者にのみ機能します。

BlackMatterランサムウェアを検出する

BlackMatter感染から会社のインフラを保護するために、当社の熟練したThreat Bounty開発者が開発したSigmaルールのセットをダウンロードできます。

DarkSideレジストリ検出のBlackMatterランサムウェア

管理者ログオンを実装するためのレジストリ変更によるBlackMatterテクニック

通常のモードブートに戻るためのBcdeditコマンドを使用したBlackMatterテクニック

BlackMatterランサムウェア（registry_event経由）

SchcacheフォルダにアクセスするためにLDAPクエリを使用してBlackMatterを検出する

また、 業界ガイドライン: 2021年のランサムウェア攻撃に対抗する を確認することをお勧めします。 SOC PrimeのCISO、Vlad Garaschenkoが提供するこれらのガイドラインは、ランサムウェア防御のベストプラクティスをカバーし、さまざまなセクターで主要なMSPおよび組織が業界固有の侵入に先んじて立ち向かうのを支援するために、最新の検出方法を提供します。

探る 世界初のプラットフォーム による協調的なサイバー防衛、脅威ハンティング、および発見を行い、脅威検出能力を高め、攻撃に対してより簡単で迅速かつ効率的に防御します。SigmaとYARAのルールを作成して、世界をより安全な場所にすることに興味がありますか？価値ある入力に対して定期的に報酬を得られるThreat Bounty Programに参加してください！

プラットフォームへ移動 Threat Bountyに参加する