ランサムウェア「BlackBit」に関する技術分析レポート - 最新ランサムウェアの脅威分析・事例まとめ

本レポートは、2022年11月1日に確認されたランサムウェア「BlackBit」による侵害事案に関する技術分析結果をまとめたものです。BlackBitランサムウェアは、標的システム上のファイルを暗号化し、特定の拡張子（.BlackBit）に変更します。

本マルウェアは、永続性の確保、システム復旧機能の無効化、およびセキュリティ対策機能の徹底的な停止を試みる点が特徴であり、広範な被害をもたらす可能性が高いと評価されます。

当該ランサムウェアは「BlackBit」と呼称されており、暗号化後のファイル拡張子は [GreenMonkey@onionmail.org][個人キー]元のファイル名.元の拡張子.BlackBit という形式に変更されます。

実行ファイルのバージョン情報および属性は以下の通りです。

BlackBitランサムウェアの主な動作プロセス（感染から暗号化に至るまでの手順）を以下に詳述します。

暗号化プロセスを妨害されないよう、以下のセキュリティ機能の無力化を試みます。

Windows ファイアウォールの解除

外部との通信を容易にするため、Windowsのファイアウォール機能を無効化（Off）します。

<Windows ファイアウォールの解除>
Windows 復元機能およびシャドウコピーの削除

被害者がシステムを容易に復元できないようにするため、Windowsのシステム復元機能およびシャドウコピー（VSS）を削除します。

<Windows 復元機能の無効化 (1)>

<Windows 復元機能の無効化 (2)>
Windows Defender 機能の解除

エンドポイントセキュリティ対策を回避するため、Windows Defenderの機能をすべて無効化します。

<Windows Defender 機能の解除>

ランサムウェアは、初期実行位置に加え、永続化のために登録された %Appdata%Roaming およびスタートアップレジストリの場所からも動作し、暗号化を確実に実行します。

暗号化が進行すると、ファイルは [GreenMonkey@onionmail.org][個人キー]元のファイル名.元の拡張子.BlackBit という形式で拡張子が変更されます。

<感染結果 (1)>

<感染結果 (2)>

<感染結果 (3)>

BlackBitランサムウェアのような高度な永続化およびセキュリティ無効化手法を用いる脅威に対し、組織は多層的な防御戦略を講じる必要があります。

多要素認証（MFA）の導入: 侵害の初期段階である認証情報の窃取を防ぐため、MFAを必須とします。
パッチ管理の徹底: OS、アプリケーション、特にリモートアクセスサービス（RDPなど）の脆弱性を解消するため、最新のセキュリティパッチを迅速に適用します。
最小権限の原則: ユーザーアカウントおよびサービスアカウントに対し、業務遂行に必要な最小限の権限のみを付与します。

エンドポイントセキュリティの強化: EDR（Endpoint Detection and Response）ソリューションを導入し、ファイルレス攻撃やセキュリティ機能の無効化といった異常な挙動をリアルタイムで検知・遮断できる体制を構築します。
バックアップ戦略の確立: ネットワークから隔離された環境（オフラインまたはイミュータブルストレージ）に重要なデータを定期的にバックアップし、ランサムウェアによる暗号化が発生した場合でも迅速に復旧できる体制を確保します。
システム復元機能の保護: シャドウコピーの削除コマンド（vssadmin delete shadows）の実行を監視し、異常な実行を検知・阻止する設定を行います。

適切なセキュリティソリューションを導入している場合、ランサムウェアの悪性な動作（暗号化、システム設定変更など）をリアルタイムで検知し、自動的にファイルを復元することが可能です。

<遮断メッセージの例 (1)>

<遮断メッセージの例 (2)>

<遮断メッセージの例 (3)>