原文のブログはこちらからご覧頂けます。
「歴史は繰り返さないが、しばしば韻を踏む」。これは、アメリカの作家マーク・トウェインの言葉として知られています。Black Basta(ブラック バスタ)と呼ばれる新興の脅威グループの攻撃が多発する中、解析作業に奮闘するサイバーセキュリティの研究者はこれに似た感情を抱いているかもしれません。その攻撃はこれまでとまったく同じではないものの、非常に見覚えのあるものなのです。支払いサイトやリークサイト、そしてメンバーに見られる癖が似ていることから、一部のアナリストはこのグループが Conti(コンティ)のリブランドではないかと考えています。
RaaS(Ransomware-as-a-Service)である Conti は昨年、攻撃に成功した数百件もの事例で使用されてきましたが、この中にある興味深い出来事があります。昨年 5 月、アイルランドの公共医療システムを侵害した ことに対する強い反発を受け、グループが復号ツール用の鍵を公開したのです。ただし、身代金が支払われなければ、窃取されたデータは引き続き公開または販売されると警告されていました。2022 年 2 月には、このランサムウェアグループはロシアのウクライナ侵攻を支援しているとしてハッキングされています。また、サイバー活動家が Conti から約 6 万件の内部メッセージを盗んで公開したことで、グループが所有するコマンドアンドコントロール(C2)インフラストラクチャが即座に停止する結果となりました。
そのすぐ後の 2022 年 4 月、Black Basta がランサムウェアシーンに突然姿を現し、瞬く間に世界各国の企業数十社を侵害しました。このグループは目立ったマーケティングや勧誘活動は行っていませんが、これほど速く成功を収めていることから、経験豊富な脅威アクターから構成されていることはまず間違いありません。Conti が迅速に撤退し、それに続いて同様の手口を用いる Black Basta がほぼ同時に出現していることから、この 2 つのグループが同一であるか、あるいは少なくとも密接に関連しているとの見方が広がっています。
Black Basta による攻撃の概要
Black Basta の攻撃は比較的新しいものですが、その手法に関する情報の一部が明らかになっています。Black Basta によるデータ暗号化の実行には管理者権限が必要です。マルウェアは Windows® サービスを乗っ取って暗号化用の実行可能ファイルを起動した後、デスクトップの壁紙を変更して脅迫状を表示します。標的システムのファイルは ChaCha20 アルゴリズムで暗号化され、ファイルの復号に必要な鍵は RSA-4096 で暗号化されます。
ファイルが暗号化されると、拡張子の末尾に .basta が付加されます。続いて Windows のレジストリが編集され、これらのファイルにカスタムのアイコンが設定されます。グループへの連絡方法と身代金支払い用のリンクは、感染デバイスの各フォルダーにドロップされた readme.txt ファイルに記載されています。このリンクは被害者が脅威アクターと交渉するための Web チャット(TOR 経由)を開きますが、これはFBIが強く注意を呼びかけているものです。研究者はこのチャット画面から、脅威アクターの言動が Conti グループに似ていることに気づいたのかもしれません。
消えた Conti、いまだ存続か ?
2 つの脅威グループの関連性に疑問が残る奇妙な点、Conti が今なお健在であるという事実です。Conti のメンバーが最近インターネット上に投稿した内容によると、グループのやり取りがリークされたことによる影響はほとんどなく、新たな活動が進行中であるとのことです。この主張は、グループの Web サイトに新たに掲載されている被害者の数に裏付けられています。また現在の攻撃成功率は 2021 年に比べて大幅に高くなっています。一部の研究者は、以前猛威を振るったEmotetのキャンペーンに Conti の被害者を関連づけ、グループが標的を選定するにあたり、Emotet によって窃取されたデータを活用していると推測しています。
どんな脅威アクターでも阻止する AI
世界中のさまざまな脅威アクターの追跡や、デジタルフォレンジックによる犯罪捜査を効果的に行えるだけのリソースを持つ組織は、そう多くありません。また、脅威グループや展開されるマルウェアの正体は、単にビジネスを安全に遂行したい組織にとってはそれほど重要なことではありません。
したがって組織に必要なのは、それが Conti なのか Black Basta なのか、それらが実際に同一の存在なのか、あるいはまったく別の脅威アクターが組織を脅かしているのかにかかわらず、効果的な予防策を実施することです。理想的には、高度な人工知能(AI)を備えたエンドポイント保護プラットフォーム(EPP)を導入する必要があります。
BlackBerry によるサポート
もしBlack Basta のような脅威にさらされているなら、BlackBerry にお任せください。現在 BlackBerry 製品を利用していなくても問題ありません。
BlackBerry のインシデント対応チーム は、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。
弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。次の URL からご相談ください。https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp
