BlackByteランサムウェア攻撃の検知

新しい日 — 、セキュリティ専門家にとっての新たな大きな課題。BlackByteをご紹介します。新たなランサムウェア・アズ・ア・サービス（RaaS）リングで、脅威リストのトップに向けて急速に進んでいます。BlackByteコレクティブに関連付けられた最初のインシデントは2021年7月に検出され、その後、攻撃者は戦術やツールを著しく進化させています。現在、セキュリティ研究者は、BlackByteが企業ネットワークに侵入し、重要な資産を暗号化するために悪名高いProxyShellの脆弱性を活用することを観察しています。

BlackByteランサムウェアとは何ですか？

BlackByteは2021年夏中頃に突如出現し、偶発的なユーザーを対象に低強度の攻撃を行いました。この新しいバリアントに対する関心は、ランサムウェアの運営者がアイオワ州の穀物協同組合を危機に追い込んだ後、2021年10月にピークに達しました。それ以来、セキュリティ研究者は米国、ヨーロッパ、オーストラリア内で製造、鉱業、食品＆飲料、医療、建設産業に対する複数の攻撃を追跡しています。

BlackByteランサムウェアグループはロシア起源であると考えられていますが、その理由は攻撃者がロシアもしくはCIS諸国に拠点を置く企業をターゲットにしないからです。さらに、BlackByteのファイル暗号化機能の一つは「Pognali」と呼ばれ、これはロシア語で「行こう」という意味です。

によると Trustwaveの 研究によれば、最初のBlackByteサンプルはそれほど複雑ではありませんでした。ランサムウェアは、各暗号化セッションに固有のものを利用する代わりに、ファイルをAESで暗号化するために同じキーを使用しました。さらに、ハッカーによってAES対称暗号化が使用されたため、同じキーが暗号化と復号の両方のプロセスに適合していました。攻撃者のサーバーからキーをダウンロードすることができなかった場合、ランサムウェアのルーチンは単にクラッシュしました。

このような単純なアプローチを考慮して、Trustwaveのセキュリティ研究者は BlackByteランサムウェア用のデクリプター を2021年10月に公開しました。しかし、その後マルウェア運営者は戦術を更新し、被害者が無料でファイルを復号するオプションがなくなりました。さらに、最近の観察によれば、BlackMatterランサムウェア攻撃は検出、分析、復号を回避するための目立った努力を伴い、より洗練されたものになっています。

BlackByte展開のために利用されたProxyShellの脆弱性

今週、Red Canaryの専門家は詳細な レポート を共有し、BlackByteの運営者がターゲットのネットワークに侵入するためにProxyShellエクスプロイトを積極的に使用していることを明らかにしました。

ProxyShell は3つの別々の欠陥の総称であり（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）、これを連鎖させることで、ハッカーは管理者レベルのアクセスを達成し、脆弱なMicrosoft Exchangeサーバー上でリモートコード実行を行うことができます。

Red Canaryによれば、BlackByteの運営者はProxyShellの欠陥を利用して、露出したExchangeサーバーにWebシェルをドロップします。成功裏にインストールされると、脅威のアクターはターゲットのインスタンスに永続性を獲得し、Windows Update Agentプロセスに注入したCobalt Strikeビーコンを展開します。このようにして攻撃者は資格情報をダンプし、アカウントへのアクセスを取得します。さらに、ハッカーはリモートアクセス用のAnyDeskツールをドロップし、ネットワーク全体での横移動を進めます。

次のステージでは、BlackByteの実行ファイルが行動を起こし、利用可能なすべての資産に感染するためのワーム可能な機能を実行します。暗号化プロセスを開始する前に、マルウェアは「Raccine Rules Updater」スケジュールされたタスクを削除し、WMIオブジェクトを通じてシャドウコピーを消去します。最後に、BlackByteはWinRARを使って機密データを抽出し、二重恐喝に使用します。

BlackByteランサムウェアの検出

セキュリティ専門家がBlackByte感染を検出し、攻撃に耐えるために、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリは、編集された検出コンテンツのバッチを提供しています:

BlackByteランサムウェアによるリモートサーバー管理ツールパッケージのインストール

Raccineスケジュールされたタスクの削除を使用するBlackByteランサムウェア

シャドウストレージのリサイズにVssadminを使用するBlackByteランサムウェア

ProxyShellエクスプロイテーションがプロセス作成を通じてBlackByteランサムウェアにつながる

リモートサーバー管理ツールパッケージインストールの試み（powershell経由）

BlackByteランサムウェアによるActive Directory問合せ for コンピュータ名

BlackByteランサムウェア検出のためのSigmaルールの完全なリストは、 このリンク.

から利用可能です。さらに、 the 業界ガイドライン: 2021年のランサムウェア攻撃に対抗する方法で確認できます。 提供者 Vlad Garaschenko 、SOC PrimeのCISO。 これらのガイドラインはランサムウェア防御のベストプラクティスをカバーしており、さまざまなセクターの主要なMSPや組織が業界特有の侵入を積極的に耐えるための最新の検出を提供します。

また、システムが潜在的なBlackByteの侵入から保護されていることを確認するために、ProxyShellの脆弱性に対するパッチを実装したかどうかを確認してください。これらの欠陥に関連する潜在的な悪意のある活動を検出するには、利用可能なSigmaルールのセットをダウンロードしてください。 次のリンクから. 

世界初のプラットフォームを探索し、攻撃からの守りをより簡単に、迅速に、そして効率的に強化しましょう。あなた自身のSigmaとYARAルールを作成して、より安全な世界の実現に貢献しませんか？貴重な貢献に対する定期的な報酬を得るために、私たちのThreat Bounty Programに参加してください！

プラットフォームに移動 Threat Bountyに参加