サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威
トピック: Attacks and Threat Actors
2022年6月28日、Doris Au
Black Bastaランサムウェアグループは、QbotやQakbot、そしてPlinkslipbotとして知られる古いマルウェアを改良し、Microsoft Exchange Serverを悪用しています。攻撃が成功すると、脅威アクターはターゲットのネットワークアクセスを取得できるようになり、重要な個人情報の収集やネットワークの暗号化もできるようになります。バラクーダでは、潜在的な影響を回避するために、環境内のすべての脆弱なMicrosoft Exchange Serverをできるだけ早くアップデートすることを推奨しています。
何が脅威なのか
現在の Microsoft Exchange Server には、脆弱性が存在します。パッチの適用されていないMicrosoft Exchange Serverを悪用することで、脅威アクターはサーバーにアクセスし、銀行の認証情報およびその他の金融情報を収集し、ネットワークを暗号化することができます。専門家は、脅威アクターがWindows Defenderを無効にすることでアンチウイルス検出を回避していると報告しています。
なぜ注目すべきなのか
この脆弱性は、組織や学校のメールコミュニケーションによく使われている現行のMicrosoft Exchange Serverに存在します。FBIはフラッシュアラートで、2021年11月から2022年3月にかけて、BlackCatランサムウェアが世界中の少なくとも60の組織のネットワークを暗号化するために使用されたと警告しています。このような脆弱性のニュースが公になると、攻撃者は攻撃を加速させることで知られています。新入に都合のよい窓がすぐに閉じられるとわかっているからです。
どのような露出やリスクがあるのか
この脆弱性が悪用されると、脅威アクターは標的のネットワークに完全かつ無制限にアクセスできるようになります。脅威アクターがネットワークにアクセスできれば、ランサムウェアを簡単に実行できます。そこから、機密情報や専有情報の一時的または永久的な損失、通常業務の中断、金銭的損失、組織の評判への悪影響といったことにつながる恐れがあります。
おすすめの対策は何か
バラクーダでは、任意コード実行攻撃の影響を抑制するために、以下の対応を推奨しています。
- アイデンティティのセキュリティポスチャーを見直し、ネットワークへの外部アクセスを監視し、環境内のすべての脆弱なMicrosoft Exchangeサーバーを早急に更新しましょう。
- セキュリティ対策を有効にするために、すべてのサーバーを最新の状態に保ちましょう。
- 潜在的な脅威を回避するために、当社の脅威勧告で常に最新情報を手にしましょう。
参考資料
脅威の詳細およびおすすめの対策は、以下のリンク先をご覧ください。
Black Basta Ransomware Teams Up with Malware Stalwart Qbot | Threatpost
Microsoft: Exchange servers hacked to deploy BlackCat ransomware (bleepingcomputer.com)
ランサム(身代金)を支払わないでください。ランサムウェアからの保護はとても簡単です。
原文はこちら
Cybersecurity Threat Advisory: Black Basta ransomware group threat
June 28, 2022 Doris Au
https://blog.barracuda.com/2022/06/28/cybersecurity-threat-advisory-black-basta-ransomware-group-threat/