ALPHA SPIDERランサムウェア攻撃の検出：ALPHV別名BlackCat RaaSオペレーターによるTTPの分析

ランサムウェアは、世界中の組織にとって依然として主要な脅威であり、攻撃の量と巧妙さが絶えず増加しています。ランサムウェアの分野で主要なプレイヤーの中で、ALPHA SPIDERグループは、米国の医療支払いソフトウェアプロセッサのChangeとMGMのゲーム業界の巨人を狙った一連の最近の著名な攻撃の責任を取ることで際立っています。ALPHA SPIDERがサイバー領域で大規模な存在を持つため、重大な脅威をもたらすことを考慮して、米国司法省は 発表しました 国際的な法執行作戦を、押収を目的とした ALPHV（別名BlackCat） の運営に続く詳細な CISAアドバイザリ #StopRansomwareイニシアティブ内で。

ALPHA SPIDER（別名ALPHV、BlackCat）ランサムウェア攻撃を検出

2020年代初めに初めて登場した後、ALPHA SPIDERは迅速に新しいランサムウェア・アズ・ア・サービス（RaaS）のリーダーとして自己宣言し、多数の著名なターゲット、高度な悪意のある能力、およびアフィリエイトへの寛大なオファーによって多くの注目を集めました。

潜在的なALPHV攻撃に先んじるために、サイバー防御者は、敵対者のTTPに対処する策定された検出アルゴリズムで強化された高度な脅威検出とハンティングツールを必要とします。SOC Primeプラットフォームは、28のSIEM、EDR、XDR、およびデータレイク技術に対応した関連するSigmaルールセットを集約して、ALPHV別名BlackCatに関連する悪意あるアクティビティを特定します。

単に「 検出を探索 」ボタンをクリックするだけで、最新のALPHA SPIDERキャンペーンに関連するTTPを特定するための広範な検出スタックに即座にアクセスし、詳細な脅威インテリジェンスで強化されたすべてのルールがMITRE ATT&CKフレームワークv14.1にマッピングされています。

検出を探索

脅威調査を簡略化し、SOCの運用を促進するために、セキュリティ専門家は、SOC Primeで「ALPHV」および「BlackCat」タグを検索することで、関連する悪意ある活動に対処するSigmaルールの広範なコレクションにアクセスできます。

Alphv/BlackCatランサムウェア攻撃分析

悪名高い ALPHV（BlackCat、ALPHA SPIDER）ランサムウェア運営者 は、2021年の晩秋以降、サイバー脅威の領域で注目を浴び、広範な産業を視野に入れ、敵対者のツールキットを継続的に強化しています。BlackCatは、 DarkSide or BlackMatter ランサムウェアギャングの次世代であると信じられており、そのアフィリエイトの高度な専門知識とスキルセットを示しています。昨年を通じて、ALPHVハッカーは、新しい敵対者の技術と革新的な方法をランサムウェア活動の一環として採用していると観察されています。

ALPHV RaaSはRustプログラミング言語で書かれているのが特徴で、高度なアフィリエイトを引き付けるためのさまざまな機能を提供しています。後者には、複数のオペレーティングシステムをターゲットにするランサムウェアのバリアント、検出回避のための高度にカスタマイズ可能なバリアント、クリアウェブドメインにホストされた検索可能なデータベース、専用のリークサイト、およびアフィリエイトパネルにビットコインミキサーの統合が含まれています。最近の分析によれば、 CrowdStrikeの研究により、Alphvの運営者はVMware ESXiサーバーへのランサムウェア展開を開始する前に、Linux版のCobalt StrikeとSystemBCを利用して偵察を行っています。

ALPHV/BlackCatは非常に多産なランサムウェアギャングであり、 MGMリゾーツというゲームの巨人 や医療支払いソフトウェアプロバイダのChange Healthcareに対するものなど、多くの著名な攻撃の手柄を獲得しています。先月行われた最新の攻撃により、 医療機関における大規模なサービスの中断 が引き起こされ、薬局などが影響を受けました。

攻撃の初期段階では、ALPHVのアフィリエイトがCVE-2021-44529とCVE-2021-40347として特定されたいくつかの脆弱性を悪用し、標的ネットワークへの初期アクセスと持続性を確保します。その後、敵対者はネットワーク発見操作を実行するために悪名高きネットワークスキャンユーティリティのNmapを使用し、特定のNmapスクリプトを使用してターゲット脆弱性スキャンを実行しようとします。また、別のRCE脆弱性として追跡されている CVE-2021-21972 を利用して、さらにネットワーク偵察活動を行うことが観察されています。さらに、ALPHVは、初期の横移動の後にVeeamバックアップツールを悪用し、Veeam Credential Recovery PowerShellスクリプトを使用してユーザーの資格情報を直接Veeamデータベースから盗み出しています。

医療セクターを標的とするランサムウェア攻撃の増加に対応して、米国健康福祉省のOCRは最近、Change Healthcareに影響を及ぼすサイバーセキュリティインシデントを取り上げた手紙を発表しました が、ランサムウェア攻撃に非常に脆弱なこの業界セクター全体でサイバーセキュリティ意識を高めることを目的としています。過去10年間で、OCRに報告されたランサムウェア攻撃が264％増加しており、米国の医療機関内での積極的な防御能力の強化の必要性を促しています。, along with numerous other healthcare entities, which is aimed at raising cybersecurity awareness across this industry sector highly vulnerable to ransomware attacks. Over the last half of the decade, there has been a 264% increase in ransomware attacks reported to OCR, which fuels the need for strengthening proactive defensive capabilities within U.S. healthcare organizations. 

増加し続けるトレンドとより高度化した侵入とともに、ランサムウェアは2021年以降、ほとんどの組織、特に大規模な企業にとっての最大の課題となっています。活用することで Attack Detective、ランサムウェア攻撃を見つけ、潜在的な侵入を迅速かつ効率的に特定することがますます容易になっています。攻撃面への包括的な可視性を確保し、データを移動させることなく使用しているセキュリティソリューションに合わせた行動ベースの検出アルゴリズムまたはIOCを提供するシステムに依存し、ATT&CKが中央の相関アルゴリズムとして働いています。