** 本記事は、BlackMatter ransomware strikes again (but Sophos stops it) の翻訳です。最新の情報は英語記事をご覧ください。**
ランサムウェアは、恐怖に付け入る攻撃手段です。恐怖が大きければ大きいほど (収益の損失、ブランドへの悪影響、人的コストなど)、身代金の要求も大きくなります。
このため、ランサムウェアグループは、被害者が身代金を支払う可能性が高くなるので、「大きすぎて潰せない」社会的に価値が高いターゲットを狙うことが多いのです。
食品のサプライチェーンが被害に遭えば、確かに恐怖感は高まるでしょう。だからこそ最近、アメリカのアイオワ州にある食品会社 New Cooperative 社に、約 600 万ドルの身代金要求をするランサムウェア攻撃があったことも驚きではありません。この攻撃の背後にいるグループは、他でもない BlackMatter です。
ソフォスは 8 月初旬に、サービスとしてのランサムウェア (RaaS) を展開していた DarkSide の後継として BlackMatter が登場したことについて記事を掲載しました。DarkSide は、世界的に大きな注目を集めたコロニアルパイプライン社への破壊的なランサムウェア攻撃を行っています。
今回新たに登場した BlackMatter の攻撃手法は、身代金メモを自動的に印刷する手法など、過去にこの Sophos News で報告した手法と非常によく似ています。
Sophos Intercept X が BlackMatter ランサムウェアを阻止
ソフォスのエンドポイント保護製品である Sophos Intercept X を導入しているお客様は、BlackMatter などのランサムウェア攻撃に対して、いくつもの防御層で守られています。
ソフォスのディープラーニングによるマルウェア検知機能は、BlackMatter ランサムウェアを実行前に特定することができます。これは、人工知能を使って、実行ファイルの「DNA」を過去のすべてのマルウェアの「DNA」と比較することで可能となります。ファイルがランサムウェアに類似しているように見える場合は、実行前にブロックされます。
ディープラーニングに加えて、Intercept X には、ランサムウェア対策技術「CryptoGuard」が搭載されています。この防御層では、悪意のある暗号化プロセスを検出し、拡散される前にシャットダウンします。また、ランタイム動作エンジンが、メモリ上で実行されている脅威を検出し、暗号化されたファイルがあれば、以前の安全な状態にロールバック (正常に稼働していた状態に戻すこと) します。