Sophos X-Ops は、最新の脅威インテリジェンスの結果を提示します。 BlackCat ランサムウェア ギャングは、Brute Ratel ペンテスト ツールを新しい攻撃ツールとして使用します。 攻撃シリーズでは、サイバー犯罪者が、パッチが適用されていないファイアウォールと VPN サービスを介して世界中のコンピューターに感染する方法を示しています。
Sophos X-Ops は、新しい BlackCat ランサムウェア攻撃は単なる不運の副産物ではないというレポートで、ランサムウェア ギャングが Brute Ratel 侵入テスト ツールを攻撃ツールの武器庫に追加したことを明らかにしました。 この記事では、BlackCat がパッチが適用されていない、または古いファイアウォールと VPN サービスを使用して、世界中のさまざまな業界の脆弱なネットワークやシステムに侵入した一連のランサムウェア攻撃について説明しています。
サービスとしてのランサムウェアを備えた BlackCat
BlackCat ランサムウェアは、2021 年 2021 月に、サービスとしてのランサムウェアの分野で自称「リーダー」として初めて登場し、その珍しい Rust プログラミング言語ですぐに注目を集めました。 2018 年 XNUMX 月には、影響を受けた企業が Sophos Rapid Response に連絡を取り、BlackCat による少なくとも XNUMX つの攻撃を調査しました。 これらのインシデントのうち XNUMX 件は、当初、さまざまなファイアウォール ベンダーの製品の脆弱性を悪用して感染していました。 これらの脆弱性の XNUMX つは XNUMX 年にさかのぼり、別の脆弱性は昨年発見されました。 ネットワークに侵入すると、サイバー犯罪者はこれらのファイアウォールに保存されている VPN 資格情報を取得することができました。 これにより、許可されたユーザーとしてログインし、リモート デスクトップ プロトコル (RDP) を使用してシステムに忍び込むことができました。
以前の BlackCat インシデントと同様に、攻撃者はオープン ソースや市販のツールを使用して、標的のシステムにリモート アクセスする追加のバックドアや別の方法を作成しました。 これらには、TeamViewer、nGrok、Cobalt Strike、および Brute Ratel が含まれていました。
悪用後の C2 フレームワーク Brute Ratel
「最近の BlackCat やその他の攻撃では、攻撃者が非常に効率的かつ効果的に活動していることがわかりました。 脆弱なファイアウォールや VPN への攻撃などのベスト プラクティスを使用します。 しかし、彼らはセキュリティ対策を回避する点でも非常に革新的であり、攻撃を新しいポストエクスプロイト C2 フレームワークである Brute Ratel に切り替えました。」
明確なパターンのない攻撃
ただし、攻撃には明確なパターンは見られませんでした。 これらは、米国、ヨーロッパ、およびアジアで、さまざまな業界セグメントで活動する大企業で行われました。 しかし、攻撃を受けた企業の環境には、攻撃者の仕事を容易にする特定の脆弱性がありました。 これらには、最新のセキュリティ パッチで更新できなくなった古いシステム、VPN の多要素認証の欠如、およびフラット ネットワーク (ピア ノードのネットワーク) が含まれていました。
「これらすべての攻撃に共通する特徴は、実行が簡単だということです」と Budd 氏は述べています。 「ある例では、同じ BlackCat 攻撃者が、ランサムウェアが起動される XNUMX か月前にクリプトマイナーをインストールしました。 最近の調査では、セキュリティのベスト プラクティスに従うことの重要性が強調されています。 単一のネットワークに対する複数の攻撃であっても、攻撃を防ぎ、阻止することができます。」
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。