ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中

今回は「ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 悪名高いランサムウェアグループが新たな攻撃テクニックを用いている。この攻撃テクニックでは、ウイルス対策ソフトウェアが使用している1000以上のドライバーに存在している脆弱性を悪用することで、その検出機能をバイパス/無力化できるようになるという。

 英サイバーセキュリティ企業Sophosのリサーチャーらは現地時間10月4日、ランサムウェア「BlackByte」の背後にいるグループが実際に行っている攻撃の詳細を発表した。

 BlackByteは比較的新しいランサムウェアだが、基幹インフラをはじめとする著名な組織/機関を標的とする一連の攻撃により、米連邦捜査局(FBI)も同グループに関する警告を発するまでになっている。

 Sophosによると、BlackByteの背後にいるグループは、「Windows」のグラフィックユーティリティードライバー「RTCore64.sys」に存在している脆弱性「CVE-2019-16098」を悪用しているという。このドライバーは、グラフィックカードに対する制御を強化してオーバークロックを実行するために一般的に使用されているものだ。

 しかし、ユーザーアカウントへのアクセス権限を獲得した攻撃者は、脆弱性を悪用することで任意のメモリーに対する読み書きを実行できるようになるため、特権の昇格や、コードの実行、情報へのアクセスが可能になる。

 リサーチャーらはこれを「Bring Your Own Driver」(自らのドライバーを持ち込む)テクニックと表現している。その悪用により攻撃者は、エンドポイントでの検知および対応(EDR)製品、すなわちウイルス対策ソフトウェアで使用されている1000を超えるドライバーをバイパス/無力化できるようになる。

 この戦術は、脆弱性を突くことで標的となるシステムのカーネルと直接通信し、ウイルス対策ソフトウェアが使用している処理ルーチンとWindowsのイベントトレース機能(ETW)を無効化するよう指示するものだ。

 Sophosの脅威リサーチ担当シニアマネージャーであるChristopher Budd氏は、「コンピューターを要塞(ようさい)になぞらえると、ETWは多くのEDR製品の正面口を守る警備兵のようなものだ。警備兵が無力化されると、システム全体が極めて脆弱な状態に陥る。また、ETWは非常に多くのプロバイダーによって使用されているため、BlackByteがEDRのバイパス戦術によって攻撃できる標的の数は極めて膨大だと言える」と述べた。

 BlackByteの背後にいるグループは、この脆弱性を悪用することで誰にも知られずにシステムへアクセスする特権を獲得する。そして、ランサムウェア攻撃を仕掛けて復号鍵との引き換えに身代金の支払いを要求できるようになる。また、同グループは他の多くのランサムウェアグループと同様に、被害者のシステムからデータを盗み出し、身代金の要求に応じない場合にはそのデータを公開すると脅迫している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NTT、クアルトリクスのEX管理ツールを従業員に展開–従業員体験を向上
IT関連
2022-11-12 19:44
HashiCorp Vaultもフォークへ、「OpenBao」がLinux Foundation傘下で進行中
HashiCorp
2023-12-19 11:47
Rust製のオープンソースエディタ「Zed」のLinux安定版が公開
開発ツール
2024-07-12 20:15
リモートワークかオフィス回帰か–変化の中で働き方や生活をどう整理する?
IT関連
2022-04-08 22:33
駒澤大、ITインフラのクラウド化でデータセキュリティソリューション導入
IT関連
2024-12-07 04:04
iOS版「Chrome」に4つの新機能–住所の地図表示やカレンダーの予定作成が容易に
IT関連
2023-06-22 01:51
インボイス制度、「知らない」が約4割–ラクス調査
IT関連
2022-08-06 15:25
VL-Bus登場前夜 GUIの要求と高精細ビデオカードの台頭 :“PC”あるいは“Personal Computer”と呼ばれるもの、その変遷を辿る(1/4 ページ)
トップニュース
2021-03-30 12:47
モブプログラミングは、なぜ5人が1台のPCで仕事をしているのに生産的になれるのか(後編)。モブプログラミングの生みの親が解説するその理由と効果とは?
DevOps
2024-09-10 11:12
キンドリルとIDホールディングス、ITシステム運用の新団体設立を表明
IT関連
2023-07-11 13:54
DXにおけるチェンジマネジメントの要点–コッターの8段階に沿ったDXの壁の乗り越え方
IT関連
2021-08-18 00:41
「Microsoft Base」にセキュリティ特化の新拠点–全国初2カ所同時に
IT関連
2022-08-05 21:59
ビジネスメールの誤送信、上司に報告する20代は8%–サイバーソリューションズが実態調査
IT関連
2022-06-08 20:18
Excelの数式をベースにしたプログラミング言語「Microsoft Power Fx」登場。オープンソースで公開予定。Microsoft Ignite 2021
Excel
2021-03-03 11:38