FBIら米政府機関、BlackMatterランサムウェアに関するアドバイザリをリリース

Alert (AA21-291A): BlackMatter Ransomware

アドバイザリによると、2021年7月に最初に発見されたBlackMatterは、ランサムウェアが実際の攻撃アクターにランサムウェア機能を提供することで利益を得る「RaaS: Ransomware as a Service」タイプのツールだという。その攻撃の傾向から、2020年9月から2021年5月までアクティブだったRaaS「DarkSide」のブランド変更の可能性があると指摘されている。

BlackMatterはターゲットのホストに感染すると、実行中のサービスやプロセスを列挙した上で、LDAPおよびSMBプロトコルに埋め込まれた資格情報を使用してアクセス可能なすべての共有ホストを検出する。そして検出された共有ホストに対してSMBプロトコルを介してリモートで暗号化を行う。バックアップシステムに対しては、暗号化ではなくワイプ（消去）や再フォーマットを行う可能性があるという。

CISA、FBI、およびNSAでは、BlackMatterランサムウェアによる侵害のリスクを軽減するために次の緩和策を実施することを呼びかけている。

企業がランサムウェアの被害に遭った場合、ビジネスの継続が困難になり、取り返しのつかない甚大な損害を被る可能性がある。攻撃グループはデータの復旧と引き換えに身代金の要求をしてくる場合があるが、身代金を支払ったとしても被害を受けたデータが正しく回復されるという保証はない。そのため、身代金を支払うことは推奨されていない。

したがって、ランサムウェアに対しては被害を受ける前に対策を強化することが重要となる。ランサムウェア攻撃のリスクを緩和する一般的な対策については、CISAが公開している次のガイドライン（PDF文書）も参考にするといいだろう。