Microsoftのインシデント対応チームはこのほど、「The five-day job: A BlackByte ransomware intrusion case study|Microsoft Security Blog」において、「BlackByte」と呼ばれるランサムウェアの調査結果を発表した。初期アクセスから大きな損害を与えるまでの攻撃プロセス全体を、わずか5日間で完了させることができるランサムウェア攻撃が報告された。
BlackByte 2.0ランサムウェア攻撃に関する調査が実施され、たった5日間で攻撃を成功させるためにさまざまなツールやテクニックを使用していることが特定された。BlackByte 2.0で使われている主なツールおよびテクニックは次のとおり。
- インターネットに公開されているパッチ未適用のMicrosoft Exchangeサーバの悪用
- リモートアクセスを容易にするWebシェルの展開
- 偵察および接続を持続させるためのツールの使用
- コマンド&コントロール(C2: Command and Control)用Cobalt Strike Beaconの配置
- プロセスの空洞化と脆弱なドライバの使用による防御回避
- 持続性を促進するためにカスタム開発されたバックドアの展開
- カスタム開発したデータ収集・流出ツールの導入
BlackByteを含むさまざまなランサムウェアによるサイバー攻撃は増加傾向にあり、企業や組織に重大な問題をもたらしている。脅威者はなるべく時間をかけずにシステムに侵入し、素早く重要なデータを暗号化して身代金を要求するようになってきている。企業や組織はランサムウェア攻撃の被害に遭わないよう、Microsoftが紹介している推奨事項を実施することが望まれる。