NSA・FBI・CISAといった政府機関がサイバー犯罪グループ「BlackMatter」のランサムウェアが食品業界や農業組織におよぼす影響について警告

2021年10月19日(月)、アメリカ国家安全保障局(NSA)とアメリカ合衆国国土安全保障省(DHS)内のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)が、サイバー犯罪グループ「BlackMatter」が開発したランサムウェアによる攻撃が食品業界や農業組織を含むアメリカの重要なインフラストラクチャーに与える多大な影響をおよぼしていると共同で警告しています。

BlackMatter Ransomware | CISA
https://us-cert.cisa.gov/ncas/alerts/aa21-291a

NSA, DHS shine light on BlackMatter ransomware threat to food industry, demands of up to $15 million - CyberScoop
https://www.cyberscoop.com/blackmatter-food-agriculture-ransomware-cisa-fbi-nsa/

FBI, CISA, NSA share defense tips for BlackMatter ransomware attacks
https://www.bleepingcomputer.com/news/security/fbi-cisa-nsa-share-defense-tips-for-blackmatter-ransomware-attacks/

Feds Warn BlackMatter Ransomware Gang is Poised to Strike | Threatpost
https://threatpost.com/feds-warn-blackmatter-ransomware-gang-is-poised-to-strike/175567/

Protect yourself from BlackMatter ransomware: Advice issued - Malwarebytes Labs | Malwarebytes Labs
https://blog.malwarebytes.com/ransomware/2021/10/protect-yourself-from-blackmatter-ransomware-advice-issued/

Stay Safe from BlackMatter Ransomware Attacks
https://heimdalsecurity.com/blog/how-to-stay-safe-from-blackmatter-ransomware-attacks/

2021年7月頃から、アメリカのインフラストラクチャーを標的としたBlackMatter製ランサムウェアによる攻撃が頻発しています。BlackMatterランサムウェアによる攻撃については、CISA主導のもと2021年10月14日にセキュリティアドバイザリーが公開され「上下水道施設への攻撃」に対する警告が発せられたばかりだったのですが、わずか数日後に食品業界と農業組織に向けても同様の警告が発せられることとなりました。

CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏は、「BlackMatterランサムウェアは標的となるシステムをロックし、ロックを解除するにはビットコインやMoneroなどの暗号通貨で8万～1500万ドル(約920万～17億円)の身代金を求めている」と主張しています。

BlackMatter製のランサムウェアはRaaSとしてサイバー犯罪者に提供されており、攻撃者とBlackMatterは身代金を山分けする取り決めで攻撃を仕掛けているとのこと。具体的な攻撃方法としては、バックアップデータの保存先やアプライアンスを暗号化するのではなくワイピング(消去)するそうで、対策としては「バックアップデータの暗号化」「強力で一意なパスワードの使用」「多要素認証の使用」などが挙げられています。

また、セキュリティアドバイザリーでは、アメリカ最大の石油パイプラインを運営するColonial Pipelineへのランサムウェア攻撃を実施したサイバー犯罪集団「DarkSide」が提供していたRaaSが名称を変えたものがBlackMatterランサムウェアである可能性も挙げられています。なお、BlackMatterおよびDarkSide、2021年6月に食肉加工工場へのランサムウェア攻撃を仕掛けたREvilについては、3つの組織がそれぞれ関係を持っているという調査報告もあります。

アメリカ最大の石油パイプラインがランサムウェア攻撃で停止、バイデン政権は緊急事態を宣言 - GIGAZINE

公開されたセキュリティアドバイザリーでは、ランサムウェア攻撃の標的となった食品業界および農業組織の名称は明かされていませんが、被害組織などからの報告やセキュリティ分析に基づき、ランサムウェア攻撃に関する情報が公開されています。

CISAは具体的な組織名を挙げていませんが、2021年9月にはアイオワ州を拠点に活動する農業関連企業のNew Cooperativeが、BlackMatterランサムウェアの攻撃を受け、システムの一部がオフラインになり食糧供給を一時的に停止したと報じられました。この時、New Cooperativeは590万ドル(約6億8000万円)の身代金を要求されています。

他にも、ミネソタ州の農業サプライヤーであるCrystal Valleyもランサムウェア攻撃を受けていますが、攻撃の実行者がBlackMatterであったとは断定されていませんでした。しかし、サイバーセキュリティ企業のRecorded Futureでアナリストを務めるアラン・リスカ氏は、「Crystal Valleyへの攻撃の背後にはBlackMatterがいる」と述べており、攻撃について言及するサイトのスクリーンショットも公開しています。

なお、サイバー犯罪グループのBlackMatterがランサムウェアの現状について語ったインタビューは以下の記事にまとめられています。

ランサムウェアの開発者が語るサイバー犯罪の現状や攻撃対象の選択方法とは？ - GIGAZINE