本ブログでは、ALPHVランサムウェアグループの詳細、被害者、動機、手口、IoC、サイバー脅威ランドスケープに対する全体的な影響について詳しく説明します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年12月19日付)を翻訳したものです。
米FBIは2023年12月19日、ALPHVランサムウェアグループのダークネットWebサイトを差し押さえ、同サイトが今月前半に利用できなくなったのはFBIの措置によるものとの噂を事実と認めました。米司法省(DOJ)は、500組を超えるALPHV(別名BlackCat/Noberus)の被害者にFBIが提供した復号化ツールの情報を含め、同グループのテイクダウンについて詳しく説明。今回のテイクダウンに先立つ2023年11月には、EUROPOLが2021年に行った事前捜査の一環として、数人のランサムウェアオペレーターとアフィリエイトが逮捕されていました。
メインサイトが利用停止に陥った間、ALPHV/BlackCatの代表者は、FBIがシャットダウンしたのは古いサーバーだと主張。さらに米司法省から提供された復号鍵は、古いブログが出どころの古いバージョンだと主張しました。ALPHVは自らのWebサイトを移転させ、「差し押さえを解除した」と報じられており、この声明の内容はおそらく事実である可能性が高いと思われます。この予期せぬ声明が出されたのは、FBIの発表からわずか数時間後のことでした。ALPHVの最近の声明に掲載されているリンクは、同グループの代表者が提供したオニオンサイトのアドレスのリンクと一致しています。
関連記事
Threat Report
Silobreaker-CyberAlert
ALPHVはテイクダウンされたのか?時系列で見るこれまでの動向
2023.12.20
Silobreaker-CyberAlert
FBIとCISAが共同CSAとALPHVのIoCに関する最新情報を公開
ALPHVが自身のドメインの差し押さえを解除した後、FBIと米CISAは共同サイバーセキュリティアドバイザリ(CSA)を公開。2023年12月6日の時点でFBIの調査によって特定された既知のTTPおよびIoCの詳細を説明しました。さらにFBIは、2022年4月に公開されたFBI FLASH「『BlackCat/ALPHV』ランサムウェアのセキュリティ侵害インジケーター」の更新版を公開しました。
ALPHV(BlackCat/Noberus)の正体は?
ALPHVはロシア語を使うランサムウェア・アズ・ア・サービスのグループであり、2021年に出現しました。以降、このランサムウェアグループは盛んに活動しており、被害組織を暴露する投稿数は、活動の最も盛んなランサムウェアグループであるLockBitやClopのそれに匹敵します。
またALPHVは、自身のカスタムマルウェアを使用することでも知られています。同グループのマルウェアは、近年登場したものの中でも最も高度なランサムウェアだと複数の研究者によって指摘されています。同グループはこれをアップデートし続けており、最新のバージョンはSphynxと呼ばれています。
ALPHVのメンバーについて、Flashpointのアナリストは、BlackCatはDarkSideまたはBlackMatterランサムウェアグループをリブランディングしたグループだと主張するLockBitのメンバーのやり取りを確認しました。その一方で他の研究者らは、BlackCatはREvilの元オペレーターによっても構成されていると評価しています。複数の政府機関はこの評価を共有しており、BlackCatのリーダーの中にかつてREvilの脅威アクターだった人物が含まれている可能性もあると述べています。
ALPHVの裏側:手口とIoC
2021年のグループ発足から今回のテイクダウン騒ぎまでの間に、BlackCatは知られているだけでも被害組織を暴露する投稿を771件行っています。
BlackCatが標的にした業界の歴代トップ10(画像入手元:Flashpoint)
BlackCatによる金銭獲得のための活動形式は、他のランサムウェアグループと比べてやや異なっています。同グループは3段階にわたって恐喝する方式を採ることで知られており、具体的には標的企業のデータを暗号化し、それを公開すると脅した後、分散型サービス拒否(DDoS)攻撃を仕掛けて、被害者に金銭を支払うよう強要します。
BlackCatに関する既知のIoC
・Rustの使用:BlackCatランサムウェアは他のグループと違い、Rustでコーディングされています。Rustは従来マルウェアに使われる言語でないことから、BlackCatランサムウェアは検知・分析が難しいものとなっています。さらに、暗号化に強いといった特性も備えています。
・有害なカーネル:2023年5月、BlackCatは不正な署名がなされたWindowsカーネルドライバを利用し、検知を回避したと報告されました。
・API機能:2023年7月下旬、BlackCatは自身のブログで使えるAPI機能とPythonベースのクローラーについて発表しました。ランサムウェアグループがAPIを提供するのは珍しいことではありませんが、証拠品やスクリプトの例を提供するグループはBlackCatのみです。
・CVE-2019-7481:BlackCatは、仮想プライベートネットワーク機器「SonicWall」の一部に存在するこのSQLインジェクションの脆弱性を利用して、認証情報を収集したり初期アクセスを獲得したりしていました。さらに研究者らは、同グループが旧型のSonicWallデバイスにこの脆弱性がまだ存在していたことも特定し、これを悪用していたことが示唆される活動を観測しました。
Flashpointで身を守りましょう
今日起こる出来事は、不法コミュニティの永続的なサイクルを体現するものであり、法執行機関と脅威アクターの間で絶えず続く攻防戦に特徴付けられています。サイバー脅威ランドスケープは極めて不安定であり、この状況を乗り切るためにはセキュリティチームに最高クラスの脅威インテリジェンスが必要です。トライアルについてはこちらにお問い合わせいただいた上で、包括的かつ実用的なインテリジェンスを利用することにより、組織のリスクに関する意思決定がどう改善されるのかをその目でお確かめください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。