CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている?
こんにちは、丸山満彦です。
CISAが米国の食料、農業分野が、BlackMatterランサムウェアの標的になっているとの勧告をだしていますね。。。
BlackMatterについては、
Technical Details | 技術的な詳細 |
Overview | 概要 |
First seen in July 2021, BlackMatter is ransomware-as-a-service (Raas) tool that allows the ransomware's developers to profit from cybercriminal affiliates (i.e., BlackMatter actors) who deploy it against victims. BlackMatter is a possible rebrand of DarkSide, a RaaS which was active from September 2020 through May 2021. BlackMatter actors have attacked numerous U.S.-based organizations and have demanded ransom payments ranging from $80,000 to $15,000,000 in Bitcoin and Monero. | 2021年7月に初めて登場したBlackMatterは、ランサムウェアの開発者が、被害者に対してランサムウェアを展開するサイバー犯罪者の関連会社(BlackMatterアクター)から利益を得ることができるRaaS(ランサムウェア・アズ・ア・サービス)ツールです。BlackMatterは、2020年9月から2021年5月まで活動していたRaaSである「DarkSide」のリブランドの可能性があります。BlackMatterアクターは、米国を拠点とする数多くの組織を攻撃し、ビットコインやモネロで8万ドルから1,500万ドルの身代金の支払いを要求しています。 |
ということで、金銭目的の犯罪者が利用している監事なんでしょうかね。。。
ランサムウェアというツールは、金銭目的の犯罪者が脅迫ツールとして使う場合もあれば、社会混乱目的でシステムの破壊ツールとして使う場合もあるでしょうね。。。
・2021.10.18 Alert (AA21-291A) BlackMatter Ransomware
Summary | 概要 |
Actions You Can Take Now to Protect Against BlackMatter Ransomware | BlackMatterランサムウェアからの保護のために今すぐできる行動 |
• Implement and enforce backup and restoration policies and procedures. | ・バックアップ・復元のポリシーと手順の導入と実施 |
• Use strong, unique passwords. | ・強力で固有のパスワードの使用 |
• Use multi-factor authentication. | ・多要素認証の使用 |
• Implement network segmentation and traversal monitoring. | ・ネットワークのセグメンテーションとトラバーサルモニタリング(セグメントを超えた活動の監視)の実施 |
Note: this advisory uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9. See the ATT&CK for Enterprise for all referenced threat actor tactics and techniques. | 注:本アドバイザリは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。 |
This joint Cybersecurity Advisory was developed by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) to provide information on BlackMatter ransomware. Since July 2021, BlackMatter ransomware has targeted multiple U.S. critical infrastructure entities, including two U.S. Food and Agriculture Sector organizations. | この共同サイバーセキュリティアドバイザリは、ランサムウェア「BlackMatter」に関する情報を提供するために、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)が作成したものです。2021年7月以降、BlackMatterランサムウェアは、米国食糧農業部門の2組織を含む複数の米国重要インフラ組織を標的としています。 |
This advisory provides information on cyber actor tactics, techniques, and procedures (TTPs) obtained from a sample of BlackMatter ransomware analyzed in a sandbox environment as well from trusted third-party reporting. Using embedded, previously compromised credentials, BlackMatter leverages the Lightweight Directory Access Protocol (LDAP) and Server Message Block (SMB) protocol to access the Active Directory (AD) to discover all hosts on the network. BlackMatter then remotely encrypts the hosts and shared drives as they are found. | 本勧告では、サンドボックス環境で分析したBlackMatterランサムウェアのサンプルや、信頼できる第三者の報告書から得られた、サイバーアクターの戦術、技術、手順(TTP)に関する情報を提供します。BlackMatterは、埋め込まれた認証情報を利用して、LDAP(Lightweight Directory Access Protocol)およびSMB(Server Message Block)プロトコルを利用してActive Directory(AD)にアクセスし、ネットワーク上のすべてのホストを検出します。その後、BlackMatterは、発見されたホストや共有ドライブをリモートで暗号化します。 |
Ransomware attacks against critical infrastructure entities could directly affect consumer access to critical infrastructure services; therefore, CISA, the FBI, and NSA urge all organizations, including critical infrastructure organizations, to implement the recommendations listed in the Mitigations section of this joint advisory. These mitigations will help organizations reduce the risk of compromise from BlackMatter ransomware attacks. | 重要インフラ事業体に対するランサムウェアの攻撃は、消費者の重要インフラサービスへのアクセスに直接影響を与える可能性があります。そのため、CISA、FBI、NSAは、重要インフラ事業体を含むすべての組織に対し、この共同アドバイザリの「緩和策」のセクションに記載されている推奨事項を実施するよう求めています。CISA、FBI、NSAは、重要インフラ組織を含むすべての組織に対し、この共同勧告の「緩和策」に記載されている推奨事項を実施するよう求めています。 |
« 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」 | Main | MITRE ATT&CKのVer 10.0がリリースされましたね。。。 »
Comments