ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中

今回は「ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 悪名高いランサムウェアグループが新たな攻撃テクニックを用いている。この攻撃テクニックでは、ウイルス対策ソフトウェアが使用している1000以上のドライバーに存在している脆弱性を悪用することで、その検出機能をバイパス/無力化できるようになるという。

 英サイバーセキュリティ企業Sophosのリサーチャーらは現地時間10月4日、ランサムウェア「BlackByte」の背後にいるグループが実際に行っている攻撃の詳細を発表した。

 BlackByteは比較的新しいランサムウェアだが、基幹インフラをはじめとする著名な組織/機関を標的とする一連の攻撃により、米連邦捜査局(FBI)も同グループに関する警告を発するまでになっている。

 Sophosによると、BlackByteの背後にいるグループは、「Windows」のグラフィックユーティリティードライバー「RTCore64.sys」に存在している脆弱性「CVE-2019-16098」を悪用しているという。このドライバーは、グラフィックカードに対する制御を強化してオーバークロックを実行するために一般的に使用されているものだ。

 しかし、ユーザーアカウントへのアクセス権限を獲得した攻撃者は、脆弱性を悪用することで任意のメモリーに対する読み書きを実行できるようになるため、特権の昇格や、コードの実行、情報へのアクセスが可能になる。

 リサーチャーらはこれを「Bring Your Own Driver」(自らのドライバーを持ち込む)テクニックと表現している。その悪用により攻撃者は、エンドポイントでの検知および対応(EDR)製品、すなわちウイルス対策ソフトウェアで使用されている1000を超えるドライバーをバイパス/無力化できるようになる。

 この戦術は、脆弱性を突くことで標的となるシステムのカーネルと直接通信し、ウイルス対策ソフトウェアが使用している処理ルーチンとWindowsのイベントトレース機能(ETW)を無効化するよう指示するものだ。

 Sophosの脅威リサーチ担当シニアマネージャーであるChristopher Budd氏は、「コンピューターを要塞(ようさい)になぞらえると、ETWは多くのEDR製品の正面口を守る警備兵のようなものだ。警備兵が無力化されると、システム全体が極めて脆弱な状態に陥る。また、ETWは非常に多くのプロバイダーによって使用されているため、BlackByteがEDRのバイパス戦術によって攻撃できる標的の数は極めて膨大だと言える」と述べた。

 BlackByteの背後にいるグループは、この脆弱性を悪用することで誰にも知られずにシステムへアクセスする特権を獲得する。そして、ランサムウェア攻撃を仕掛けて復号鍵との引き換えに身代金の支払いを要求できるようになる。また、同グループは他の多くのランサムウェアグループと同様に、被害者のシステムからデータを盗み出し、身代金の要求に応じない場合にはそのデータを公開すると脅迫している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
マイクロソフト、SolarWinds問題の調査完了–Azureなどの一部コード盗難も被害は軽微
IT関連
2021-02-19 17:07
吉野家の牛丼、自宅前までロボットがお届け–出前館、パナソニックと組み自動搬送の実証実験
IT関連
2024-11-19 20:12
「Linux 6.2」がリリース–アップルの「M1」チップに初めて対応
IT関連
2023-02-23 03:25
第41回:列伝1人目「カイゼン型ひとり情シス」
IT関連
2022-08-24 20:15
Udemyの幹部たちが、より良いUdemyを作るために退社した理由
IT関連
2022-02-12 09:07
公取委研究会、AIなどの競争上の課題について報告 自動ランク付けでの自社優遇を問題視
IT関連
2021-04-02 10:33
Linuxcareの創設者2人がCIQの経営陣に加入
IT関連
2022-09-06 15:29
味の素、経営管理ソリューションでグループ全体の中長期的な課題対応力を強化
IT関連
2023-09-08 14:23
DeNA、勤務時間内の新型コロナワクチン接種を可能に–副反応時には特別休暇を付与
IT関連
2021-05-26 10:23
GitHub、「GitHub Copilot Chat for GitHub Mobile」を一般提供–場所を問わず質問を可能に
IT関連
2024-05-09 09:43
システム開発の工数を無駄にしないために、ログイン処理だけではなく多層防御機能も備える話題のIDaaS「Auth0」とは[PR]
PR
2021-04-12 14:13
電子チケット販売のPeatix、全ユーザーがライブ配信可能に 6月から
企業・業界動向
2021-05-13 07:27
デジタル時代における意思決定の新しいルール
IT関連
2021-07-02 05:38
エアロネクスト、KDDIスマートドローン、KDDIの3社、ドローン配送の社会実装に向け連携
IT関連
2022-09-28 15:28