最近、連邦捜査局、サイバーセキュリティ・インフラストラクチャセキュリティ局、保健福祉省、およびマルチステート情報共有分析センターによる共同サイバーセキュリティ勧告が発表され、Black Basta ランサムウェアに関する詳細情報が提供されています。
Black Bastaの関連組織は、米国、カナダ、日本、英国、オーストラリア、ニュージーランドの組織を標的としています。共同勧告によると、2024年5月時点で、これらの関連組織は世界中で500以上の組織に影響を与え、16の重要インフラセクターのうち少なくとも12セクターからデータを窃取しています。
最近のセキュリティ調査によると、ランサムウェアの脅威は依然として高く、データの回復のために身代金の要求に応じる企業が増えています。
ブラックバスタとは何ですか?
Black Bastaは、2022年4月に最初の亜種が発見されたランサムウェア・アズ・ア・サービスです。サイバーセキュリティ企業SentinelOneによると、Black Bastaは、2012年から活動し、複数のランサムウェア攻撃に関与している「Carbanak」としても知られる脅威アクターFIN7と関連している可能性が高いとのことです。
Black Bastaは、以前のContiランサムウェアの構造から派生した可能性があるという噂も広まっていますが、サイバーセキュリティ企業のKasperskyが両方のコードを解析した結果、重複は見つかりませんでした。これらの噂は主にContiとBlack Bastaの手口の類似性に基づいていますが、確固たる証拠はありません。
Black Basta のアフィリエイトはどのように運営されていますか?
Black Bastaの関連組織は、フィッシング、既知の脆弱性の悪用、初期アクセスブローカーからの有効な認証情報の購入といった一般的な手法を用いて標的のネットワークに侵入します。Black Bastaは、悪名高いQakBotを介してシステムに侵入しました。
ネットワークに侵入した攻撃者は、様々なツールを用いて標的ネットワーク内を水平移動し、機密コンテンツを盗み出し、ランサムウェアを展開します(二重恐喝モデル)。この攻撃には、Cobalt Strike、Mimikatz、PsExec、SoftPerfectなど、一般的な管理ツールや侵入テストツールが利用されます。
Black Bastaの亜種もLinuxベースのVMware ESXi仮想マシンを標的としています。この亜種は、ESXi仮想マシンのすべてのファイルを保存する/vmfs/volumesフォルダ内のすべてのファイルを暗号化し、暗号化後に身代金要求のメッセージを残します。
ランサムウェアが展開されると、身代金要求メッセージがシステムに拡散されます。身代金要求メッセージには、組織がTorリンク経由でサイバー犯罪者に連絡するために必要な固有の識別子が含まれています。
Black Basta Torのサイトでカウントダウンが始まり、Black Bastaが所有する企業名とデータに関する情報が公開されます。タイマーがゼロになると、盗まれたデータが共有されます。
ランサムウェアの現状:身代金支払いを含む主な傾向
ブラックバスタは2023年に最も活動的な家族の12位にランクインしました
カスペルスキーの2024年のランサムウェアの状況に関する最新の調査結果によると、Black Bastaは2023年に最も活発なランサムウェアファミリーの12位にランクされており、2022年と比較して2023年の被害者数は71%増加しています。
カスペルスキーのインシデント対応チームによると、2023 年のセキュリティ インシデントの 3 分の 1 はランサムウェアに関連していたとのことです。
参照:2022年、Black Bastaは最も危険で破壊的なランサムウェアグループの一つと考えられていました
さらに、研究者らは2023年に観察されたもう一つの重要な傾向を指摘しました。ITサービスを含む請負業者やサービスプロバイダーを介した攻撃が、初めて上位3つの攻撃ベクトルの一つとなったのです。この種の攻撃により、サイバー犯罪者は初期の侵入と水平展開に費やす労力が少なくなり、システムの暗号化が完了するまで検知されないことがよくあります。
2023年に身代金を支払った組織は増加
サイバーセキュリティ企業ソフォスは、毎年実施しているランサムウェアの現状調査で、2023年にランサムウェア被害に遭った組織の半数以上(56%)が初めて、データを回復するために身代金を支払ったことを認めたと指摘した。
身代金を支払うことを決めた組織のうち、44% は当初の身代金額より少ない金額を支払い、31% は当初の身代金額より多い金額を支払いました。
Black Bastaランサムウェアの脅威を軽減する方法
CISA からすべての重要インフラ組織への推奨事項は次のとおりです。
- オペレーティング システム、ソフトウェア、ファームウェアの更新プログラムは、リリースされたらすぐにインストールする必要があります。
- できるだけ多くのサービスでフィッシング耐性のある多要素認証を必須にする必要があります。
- 認識を高める必要があり、ユーザーはフィッシングの試みを認識して報告できるようにトレーニングを受ける必要があります。
- リモートアクセスソフトウェアはセキュリティを確保し、監視する必要があります。特に、ネットワーク管理者と防御担当者は、異常な動作を認識し、これらのソフトウェアの悪意ある使用を検知できる必要があります。
- 可能な場合はゼロトラストソリューションを使用する必要があります。それが不可能な場合は、最小権限使用の原則を適用する必要があります。
- Active Directory 内の非アクティブまたは古いアカウントを監査する必要があります。
- スクリプト承認プロセスに加えて、大量スクリプト作成に対する安全対策を講じる必要があります。一定時間内に複数のデバイスにコマンドをプッシュしようとするアカウントについては、MFAなどのセキュリティプロトコルを再度有効化し、ソースの正当性を確認する必要があります。
- デバイスの修復と復元を可能にするために、重要なシステムとデバイス構成のバックアップを頻繁に実行する必要があります。
- 可能な場合は署名の自動更新が可能な最新のマルウェア対策ソフトウェアを使用する必要があります。
- 共同アドバイザリの MITRE ATT&CK for Enterprise フレームワークにマッピングされた脅威の動作に対して組織のセキュリティ プログラムを演習、テスト、検証することを強くお勧めします。
さらなる軽減手法については、CISA の #StopRansomware ガイドをご覧ください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
