ランサムウェア
ランサムウェアスポットライト:Black Basta
2022年に登場した新しいランサムウェアファミリー「Black Basta」は、最初の検出からわずか数カ月で、ツールセットをアップグレードし、世界中で被害件数が増加するなど、大きく注目されるまでに時間はかかりませんでした。企業や組織は、この新たなランサムウェアファミリーの詳細を理解し、防御を強化する必要があります。
2022年に登場した新しいランサムウェアファミリー「Black Basta」は、最初の検出からわずか数カ月で、ツールセットをアップグレードし、世界中で被害件数が増加するなど、大きく注目されるまでに時間はかかりませんでした。企業や組織は、この新たなランサムウェアファミリーの詳細を理解し、防御を強化する必要があります。
Black Bastaは、2022年4月に初めて確認され、サービスとしてのランサムウェア(RaaS)も運用するランサムウェアファミリーです。その後、二重恐喝、マルウェアQakbot、脆弱性PrintNightmareなどを駆使して攻撃範囲を拡大させています。
このランサムウェアは、最近発見されたこともあり、検出台数はまだそれほど多くはありません。また、最近のランサムウェアファミリーと同様、ばらまき型ではなく、ターゲットを絞って攻撃を仕掛ける標的型の手口を採用しています。一方、攻撃手段の増強や、新たなLinuxビルドが開発されたスピード感は特筆すべきであり、この背後にいる新興の攻撃グループは、さらに調査対象とする価値は十分にあると言えます。
/ransomware-spotlight-blackbasta/JP-Black-Basta-InfographicV2.jpg)
企業や組織が知っておくべきこと
Black Bastaは、今年初めに大規模な不正侵入を行ったことで注目されたランサムウェアファミリーです。2022年4月20日、「Black Basta」と名乗る人物が、ランサムウェア攻撃による利益の分配を報酬として、アンダーグラウンドフォーラムで企業ネットワークアクセスへの認証情報を募集しました。具体的には、オーストラリア、カナダ、ニュージーランド、英国、米国など英語圏に拠点を置く企業や組織を危険にさらす可能性のある認証情報を求めていました。
その2日後、米国歯科医師会(ADA)がサイバー攻撃に見舞われ、複数のシステムがシャットダウンする事態に陥りました。そしてADAから窃取された情報は、攻撃からわずか96時間後にリークサイト「Black Basta」で暴露されました。
これまで、ランサムウェアグループは、購入したり盗んだりした認証情報を使用して企業や組織のネットワークに侵入したと考えられていましたが、トレンドマイクロが72時間以内に入手した別の検体への解析により、マルウェアQakbotの関与の可能性があることが判明しました。このランサムウェアはさらに進化を続け、6月には、仮想マシンVMware ESXiのファイルを暗号化する亜種のLinuxビルドが出回っていたことも確認されました。
興味深いことに、このランサムウェアファミリーは、無作為に自身を配布しているわけではないようです。Black Bastaの攻撃グループは、ネットワークアクセス認証情報を入手するためにアンダーグラウンド市場に目を向け、自身のすべてのビルドに固有のIDをハードコードしています。このことは、ランサムウェアがビジネスとしてどのように機能するかを彼らが熟知している証拠とも言えるでしょう。この攻撃グループは新しく結成された集団かもしれませんが、一方で、背後にいる人員は、経験豊富なサイバー犯罪者であると推測されます。
影響を受けた産業や国
ここでは、2022年4月1日から7月31日までのBlack Bastaの活動に関してTrend Micro™ Smart Protection Network™(SPN)のデータに基づき、このランサムウェアファミリーの検出台数について説明します。
この期間に攻撃グループが実行した44件のランサムウェア攻撃のうち、わずか2カ国が半分以上を占め、その割合は米国に43%と集中しており、次いでオーストリアの15%となっています。攻撃グループは、特に米国に所在する企業や組織のネットワークアクセス認証情報を購入しようとしていたことから、米国を拠点とする標的への攻撃件数が多いのもこのためと思われます。
/ransomware-spotlight-blackbasta/JP-F01.jpg)
本稿執筆の時点でこのランサムウェアファミリーの活動はさまざまな業界に広がっていることが検出台数から把握でき、テクノロジー、保険、製造、および公益事関連する企業や組織を標的としています。
Black Bastaは、ランサムウェアファミリーの中では比較的新しい存在ですが、4月に一連の活動実態が表面化して以来、検出台数は着実に増加していました。そして6月の22件をピークに翌7月には11件に減少しています。
/ransomware-spotlight-blackbasta/JP-F02.jpg)
Black Bastaリークサイトに基づく対象地域別および業種別の分布
ここでは、Black Bastaのリークサイトでの記録に基づき、現時点で被害を受けて身代金の支払いを拒否している企業や組織への攻撃事例について見ていきます。なお、ここでトレンドマイクロが確認した被害件数は、同リークサイト全体のごく一部である点にも留意が必要です。トレンドマイクロのオープンソースインテリジェンス(OSINT)調査および同サイトの調査によると、2022年4月1日から7月31日までで合計80件も侵害事例が判明しています。
Black Bastaの被害事例の大部分は北米に集中して44件に達し、次いでヨーロッパ、アジア太平洋地域となっています。北米地域の中で国別では、米国が最も多く38件に及んでいます。欧州ではドイツで多くのランサムウェア攻撃が確認されており、被害件数は19件となっています。
/ransomware-spotlight-blackbasta/JP-F03.jpg)
/ransomware-spotlight-blackbasta/JP-F04.jpg)
Black Bastaの攻撃は、さまざまな業界の企業や組織に影響を与えました。業界別ランキングでは、建設業が10件でトップ、次いで専門サービス業が9件で2位となっています。また、被害件数のセグメント別では、中小・中堅企業が大半を占めています。
/ransomware-spotlight-blackbasta/JP-F05.jpg)
/ransomware-spotlight-blackbasta/JP-F06.jpg)
感染フローと技術的詳細
Black Bastaの攻撃グループは、RaaSのビジネスモデルも採用しているため、ターゲットによって感染フローが異なる可能性があります。以下の感染フローは、同攻撃グループが使用するさまざまな手法やツールの詳細を示しています。
/ransomware-spotlight-blackbasta/JP-F07.jpg)
Initial access (初期侵入)
・外部情報によると「Black Basta」と名乗る人物が、企業や組織へのネットワークアクセス認証情報を求めてアンダーグラウンドフォーラムに投稿し、その対価として攻撃による利益の一部を提供したと報告されています。これらの報告は、Black Bastaの各ビルドに固有のIDがハードコードされていることからも裏付けられており、攻撃グループが自分たちのランサムウェアを無差別に配布する意志がない証拠であるともいえます。
・トレンドマイクロの調査によると、攻撃確認後から72時間以内に入手された検体からは、マルウェアQakbotとの関与があったされる情報も明らかになっています。このマルウェアは、不正なExcelファイルによってダウンロードして実行され、攻撃の前段階の一部として、特定のPowerShellコマンドを実行します。
Discovery(事前調査)
・Black Bastaは、PowerShellスクリプトを使用して、侵入したシステムやネットワークに関する情報をスキャンします。
・QakbotやCobeaconの情報収集機能を使用して、侵入したシステムやネットワークをスキャンします。
・Netcatなどのサードパーティツールを使用して、侵入したシステムまたはネットワークをスキャンします。
Defense evasion(検出回避)
・Black Bastaは、PowerShellコマンドを含むバッチスクリプトを使用して、マルウェア対策のアプリケーションを無効化します。
・グループポリシーオブジェクト(GPO)を使用して、Windows DefenderとSecurity Centerを無効化します。
・被害者のコンピュータをセーフモードで再起動させ、セキュリティ対策ソフトによる検知を回避します。
Privilege escalation(特権昇格)
・Black Bastaは、脆弱性PrintNightmare(CVE-2021-34527)を悪用して特権昇格を行い、Cobalt Strikeビーコン(別名:Cobeacon)やその他のペイロードを配信します。
Credential access(クレデンシャルアクセス)
・Black Bastaは、Mimikatzを使ってクレデンシャルをダンプします。
- BITSAdmin
- PsExec
- Windows Management Instrumentation (WMI)
- RDP
- Qakbot
- Cobeacon
Exfiltration(情報送出)
・Black Bastaは、Cobeaconを使用して、通信先のコマンド&コントロール(C&C)サーバへ窃取した情報を送出します。
・さらにRcloneも使用して、侵害されたシステムから情報を送出します。
Impact(被害規模)
・Black Bastaは、ChaCha20アルゴリズムを使用してファイルを暗号化します。さらにChaCha20の暗号化キーは、実行ファイルに含まれるRSA-4096の公開キーで暗号化されます。
・Black Bastaの複数のビルドが出回っていました。
- あるビルドでは暗号化実行前に被害者のシステムをセーフモードで再起動します(回避のためと推測されます)。また「Fax」サービスがセーフモードおよびサービスレベルのアクセス権限のみで実行可能なように変更されています。
- 別のビルドでは、壁紙の変更、ファイルの暗号化、シャドウコピーの削除など、ランサムウェアの中核となる機能だけを含んでいます。
- 新たに発見されたビルドでは「-bomb」という引数が追加されており、この場合、理論的には接続されたすべての感染端末を自動的に暗号化の対象にできます。
- Linuxのビルドでは、仮想マシンのイメージが格納されている/vmfs/volumesフォルダを暗号化の対象としています。他のフォルダを暗号化するために引数「-forcepath」も含んでいます。
・感染端末上の壁紙を脅迫状に変更し、さらなる詳細を記載した.txtファイルへとユーザを誘導します。
/ransomware-spotlight-blackbasta/F08.jpg)
その他の技術的詳細
・Black Bastaは以下のフォルダ内に保存されたファイルの暗号化を避けます。
- $Recycle.Bin
- Windows
- Local Settings
- Application Data
- boot
・以下の文字列が含まれるファイルの暗号化を回避します
- OUT.txt
- NTUSER.DAT
- readme.txt(脅迫状)
- dlaksjdoiwq.jpg(フォルダ%TEMP%から表示される壁紙)
- fkdjsadasd.ico(暗号化されたファイルに使用されるアイコン。フォルダ%TEMP%内に保存されている)
・感染端末上で暗号化されたフォルダに.txt ファイル形式の脅迫状が作成されます。
/ransomware-spotlight-blackbasta/F09.jpg)
MITRE ATT&CK tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、Black Bastaのランサムウェア攻撃で通常使用される以下のツール、脆弱性悪用、その他のマルウェアへの注意が必要です。
- 初期侵入
- スピアフィッシング
- 事前調査
- Netcat
- 特権昇格
- Windows印刷スプーラの脆弱性「PrintNightmare」 (CVE-2021-34527)
- クレデンシャルアクセス
- Mimikatz
- 水平移動・内部活動
- BITSAdmin
- Coroxy
- PsExec
- RDP
- WMI
- 不正活動の実行
- PowerShell
- Windows command shell
- WMI
- 情報送出
- Cobeacon
- Rclone
- コマンド&コントロール
- Cobeacon
- Qakbot(Qbot)
- 被害規模
- ランサムウェアBlack Basta
推奨事項
セキュリティリサーチャーの間では、Black Bastaは、悪名高いランサムウェアContiの分派である可能性があると推測しています。また、Black Matterの攻撃グループとも、利用するリークサイトなど、いくつかの類似性も指摘されています。これらのよく知られた他の攻撃グループとの関係性から、Black Bastaの攻撃グループが高度な専門知識を備えている理由も説明できるかもしれません。
Black Basta のような脅威からシステムを守るには、ランサムウェアに対する強固な防御を講じるためには、組織的にリソースを割り当てることができるセキュリティフレームワークの確立が有効であるといえます。以下、このようなフレームワークに含まれるベストプラクティスをいくつか紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、Web、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
感染の痕跡
本記事の感染の痕跡(IOC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
• 「Ransomware Spotlight: Black Basta」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)