Last Updated on 2024-07-01 07:36 by admin
「BlackSuit」ランサムウェアグループは、1年間で53の組織に対する攻撃を行い、データをリークした。
このグループは2023年5月から活動しており、主に米国の教育および産業財産の分野の企業を標的にしている。攻撃手法には、二重恐喝(ダブルエクスターション)、Kerberoasting、PsExecが含まれる。
ReliaQuestの研究者は、VPNの設定ミスやWindowsイベントログのモニタリング不足などの対策の重要性を指摘している。
BlackSuitは、Royalランサムウェアグループから分離したとされ、技術的に優れた能力を持つ。攻撃のシーケンスは、VPNアクセスから始まり、PsExecやKerberoastingを使用して横断的に移動し、データ盗難やランサムウェア展開に至る。攻撃を受けた組織は、パスワード変更や被害サイトの隔離などの対策を取った。ReliaQuestは、ネットワークデバイスの設定管理やWindowsイベントログのモニタリング、強力なパスワードや暗号化の設定などの対策を提案している。
【編集者追記:2024/07/01】用語解説
- ランサムウェア:
コンピューターやデータを「人質」にとり、「身代金」を要求するマルウェアです。被害者のファイルを暗号化し、復号のために金銭を要求します。 - 二重恐喝(ダブルエクスターション):
ランサムウェア攻撃者が用いる戦術で、データの暗号化に加え、盗んだ機密情報の公開も脅迫材料にします。
【参考リンク】
【関連記事】
ハッカー集団がKADOKAWAのサイバー攻撃で犯行声明、「金額に不満」と主張(日経クロステック:外部)
BlackSuitランサムウェア集団がKADOKAWAへの攻撃を主張(外部)
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
BlackSuitランサムウェアグループは、2023年5月から活動を開始し、主にアメリカ合衆国の教育および産業財産セクターを標的にしています。このグループは、53の組織に対してデータを盗み出し、リークする攻撃を行ってきました。彼らの攻撃手法には、ダブルエクスターション(身代金要求とデータ漏洩の脅威を併用する手法)、Kerberoasting(サービスアカウントのハッシュを盗む)、PsExecを使用した横断的移動などが含まれます。
このグループは、Royalランサムウェアグループから派生したとされ、技術的に高度な能力を持っています。特に、彼らは攻撃の初期段階でVPNの設定ミスを利用し、その後、組織内で横断的に移動してデータを盗み出し、最終的にランサムウェアを展開します。攻撃を受けた組織は、パスワードの変更や被害サイトの隔離など、迅速な対応を行いました。
このような攻撃から身を守るために、ReliaQuestはいくつかの対策を提案しています。VPNの設定ミスを避けるために、ネットワークデバイスの設定管理を集中化し、バージョン管理を行うこと、Windowsイベントログのモニタリングや強力なエンドポイント検出応答(EDR)ツールの導入、強力なパスワードや暗号化の設定などが挙げられます。
このニュースからわかることは、ランサムウェア攻撃がますます巧妙化しているという事実です。特に、教育や産業財産のような重要セクターが標的にされていることは、これらの分野のセキュリティ対策の強化が急務であることを示しています。また、攻撃者が技術的に高度な手法を駆使しているため、組織は常に最新のセキュリティ対策を講じ、従業員のセキュリティ意識を高める必要があります。
しかし、これらの対策にはコストがかかるため、特に小規模な組織や予算が限られているセクターでは実装が難しい場合があります。このような状況では、政府や業界団体が支援を提供することが重要です。長期的には、セキュリティ対策の標準化や共有、教育プログラムの強化などが、ランサムウェア攻撃の脅威を減少させる鍵となるでしょう。
from BlackSuit Claims Dozens of Victims With Carefully Curated Ransomware.