Microsoftのインシデント対応チームはこのほど、「The five-day job: A BlackByte ransomware intrusion case study|Microsoft Security Blog」において、「BlackByte」と呼ばれるランサムウェアの調査結果を発表した。初期アクセスから大きな損害を与えるまでの攻撃プロセス全体を、わずか5日間で完了させることができるランサムウェア攻撃が報告された。

  • The five-day job: A BlackByte ransomware intrusion case study|Microsoft Security Blog

    The five-day job: A BlackByte ransomware intrusion case study|Microsoft Security Blog

BlackByte 2.0ランサムウェア攻撃に関する調査が実施され、たった5日間で攻撃を成功させるためにさまざまなツールやテクニックを使用していることが特定された。BlackByte 2.0で使われている主なツールおよびテクニックは次のとおり。

  • インターネットに公開されているパッチ未適用のMicrosoft Exchangeサーバの悪用
  • リモートアクセスを容易にするWebシェルの展開
  • 偵察および接続を持続させるためのツールの使用
  • コマンド&コントロール(C2: Command and Control)用Cobalt Strike Beaconの配置
  • プロセスの空洞化と脆弱なドライバの使用による防御回避
  • 持続性を促進するためにカスタム開発されたバックドアの展開
  • カスタム開発したデータ収集・流出ツールの導入
  • BlackByte 2.0 ransomware attack chain|Microsoft Security Blog

    BlackByte 2.0 ransomware attack chain|Microsoft Security Blog

BlackByteを含むさまざまなランサムウェアによるサイバー攻撃は増加傾向にあり、企業や組織に重大な問題をもたらしている。脅威者はなるべく時間をかけずにシステムに侵入し、素早く重要なデータを暗号化して身代金を要求するようになってきている。企業や組織はランサムウェア攻撃の被害に遭わないよう、Microsoftが紹介している推奨事項を実施することが望まれる。