2022年に現れて以来、500を超える世界中の組織に狙いを定め、巧妙な手口を駆使してランサムウェア脅威の一大勢力となっているBlack Basta。本ブログでは、この恐るべきサイバー犯罪グループの攻撃手法や主な攻撃事例のほか、予想される将来像について考察します。
本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年5月28日付)を翻訳したものです。
- 初期アクセス
- ラテラルムーブメントとクレデンシャルハーベスティング
- コマンド&コントロール(C2)
- データ窃取と暗号化
- 暗号化
- Hyundai Europe(2022年4月)
- Capita(2023年3月)
- トロント公共図書館(2023年10月)
- Chilean Government Customs Agency(2023年10月)
- 米歯科医師会(2022年4月)
Black Bastaとは?
Black Bastaはその存在が初めて知られるようになった2022年4月以降、サイバー脅威ランドスケープにおいて急速に勢いを増しているランサムウェアグループです。巧妙な高度標的型攻撃で知られるこのグループは、ランサムウェア・アズ・ア・サービス(RaaS)組織として活動しており、最近では世界各地の500以上の組織を侵害したことで話題になりました。米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)と連邦捜査局(FBI)が共同で発表した報告書によると、複数の重要インフラ部門が被害者リストに名を連ねています。
標的を定めずに攻撃する一部のランサムウェアオペレーターとは違い、Black Bastaはそれぞれの攻撃のインパクトを最大化するために被害者を絞り込んで狙い撃ちします。2024年1月から4月にかけて、Black Bastaによる攻撃は公になったもので102件を数えました。
このグループの構成員は、悪名高きランサムウェアグループContiとREvilの元メンバーだと考えられています。戦術、技術、手順(TTP)に類似性があること、そしてサイバー犯罪エコシステムで一気に地位を確立し、成果を上げているという事実がそれを示唆しています。悪名を轟かせるほかのランサムウェアグループと同様、二重恐喝の戦術を使うことがBlack Bastaの特徴であり、被害者のデータを暗号化した上で、身代金を支払わなければ機微情報をリークサイトで公開すると脅します。
歴史とバックグラウンド
Black Bastaは2022年4月下旬、その存在を初めて世界に知らしめる一連の攻撃を展開しました。母体とされるContiがオペレーションを停止したのは同年2月で、それからわずか数か月後のことです。最初期の攻撃では、ドイツの風力エネルギー企業Deutsche Windtechnikといった組織が被害を受けました。しかしこのグループは、早ければ2022年2月の時点ですでに活動していた可能性が指摘されています。
発足以来、Black Bastaの活動レベルは非常に高く、2024年5月には被害者数が500組を超えました。同グループは滞りなくネットワークへの管理者アクセスを取得するため、ExploitやXSSといった一流ハッキングフォーラムを活用して標的組織内の協力者を募集しています。
影響は世界規模
Black Bastaの影響力は大きく、重要インフラなどさまざまな部門を幅広く標的にしており、主に米国や日本、カナダ、英国、オーストラリア、ニュージーランドの組織がターゲットにされています。
先述のCISAとFBIに加え、米国保健福祉省(HHS)と多州間情報共有・分析センター(MS-ISAC)が発表した共同勧告によると、Black Bastaは世界各地の500を超える組織を侵害。重要インフラ分野の16部門についても、ヘルスケアや公衆衛生、エネルギーなど12部門に被害が及んでいます。
Black Bastaの攻撃手法
Black Bastaのオペレーションは巧妙かつ体系的なアプローチが特徴で、高度なテクニックとツールを組み合わせてターゲットに侵入し、侵害と恐喝を行います。
初期アクセス
ターゲットネットワークへの初期アクセスを獲得するために、Black Bastaは複数の戦略を使います。
- スピアフィッシングキャンペーン:初期のキャンペーンにおいては、高度に標的を絞ったスピアフィッシングメールで個人を騙し、認証情報を盗み出す、あるいは有害な添付ファイルをダウンロードさせていました。
- インサイダーの情報:ExploitやXSSといった不法フォーラムを使って標的組織の内部関係者を勧誘し、多額の金銭的インセンティブを用意してネットワークアクセスを獲得する手口が知られています。
- ネットワークアクセスの購入:企業のネットワークアクセスを購入する意志をフォーラムで告知し、初期アクセスブローカー(IAB)の力を借りて標的システムに侵入します。
ラテラルムーブメントとクレデンシャルハーベスティング
ネットワーク内に侵入すると、Black Bastaはさまざまな戦術を駆使してラテラルムーブメントを行い、認証情報を取得します。
- QakBot(QBot):認証情報を盗み、情報を収集するためにQakBotを使います。このマルウェアには複数の機能があり、ブルートフォースやWebインジェクション、その他のマルウェアのロードといったアクションを実行できます。
- Mimikatz:このツールをクレデンシャルダンプに使い、メモリからパスワードを抽出します。
- 脆弱性の悪用:ZeroLogon、NoPac、PrintNightmareといった既知の脆弱性を悪用し、ネットワーク内で特権を昇格させます。
- Windowsのネイティブツール:Windows Management Instrumentation(WMI)、PowerShell、PsExecなどのツールを使ってコマンドを実行し、ネットワークを横方向に移動します。
コマンド&コントロール(C2)
侵害に成功したシステムを制御し続けるため、Black Bastaはさまざまなツールと手法を活用しています。
- Cobalt Strike Beacon: この商用ペンテストツールはC2攻撃で頻繁に使用され、侵害したシステムをリモートで制御できるようにします。
- SystemBC:トラフィックを隠し、侵害に成功したシステムと通信するためのC2プロキシとして使います。
- Rclone:データ窃取に使うツールで、盗んだデータを遠隔地に転送することができます。
データ窃取と暗号化
暗号化する前にファイルを最大限に活用するため、いくつか手段を講じます。
- セキュリティツールの無効化:PowerShellスクリプトを使い、アンチウイルス製品とEDR(エンドポイント検出および対応)ツールを無効化します。
- シャドウコピーの削除:復旧を妨害するため、コマンド「vssadmin.exe delete shadows /all /quiet」を使ってシャドウコピーを削除します。
- データ窃取:暗号化する前に、RcloneやWinSCPといったツールを使って機微データを盗み出します。
暗号化
妨害行為を最大限に行うため、このグループは暗号化のフェーズを入念に実行します。
- 暗号化ペイロード:Black Bastaのランサムウェアペイロードは、XChaCha20というアルゴリズムを使ってファイルを暗号化します。またGNU Multiple Precision Arithmetic Library(GMP)からCrypto++Libraryへと、使用するライブラリに変化が見られました。
- ファイル拡張子と身代金メモ:暗号化されたファイルには「.basta」という拡張子が付いています。身代金メモ(通常「readme.txt」という名前が付けられ、標的のデスクトップ上に配置される)により、被害者は身代金に関する交渉を行うための.onionサイトに誘導されます。
- 高度な難読化:同グループのランサムウェアの最新バージョンでは、EDR製品による検出を回避するため、強力な難読化の手法や無作為に選出されたファイル名が使われています。
ますます巧妙になっていく技術と広がる活動
Black Bastaは、常にセキュリティ対策の先手を取るために自身の技術を継続的に進化させており、最近ではEメールでDDoSを行う手法とヴィッシング(電話を使ったフィッシング)の手法を組み合わせた手口を使っています。具体的にはまず標的をスパムメールで溢れさせ、その後ITサポートになりすまして被害者に電話をかけることで、被害者を騙してAnyDeskに似たリモートアクセス型のツールをインストールさせるか、Windows Quick Assistを使わせます。アクセスを手に入れたBlack Bastaは正規のアップデートに扮したバッチスクリプトを実行し、永続性を確立。セキュアコピープロトコル(SCP)を使って認証情報を抜き取ります。
Black BastaはLinuxベースのVMware ESXiにまで活動対象の幅を広げており、暗号化アルゴリズムにはChaCha20を使っています。CISAやFBIなどの各機関が公開した最近のインテリジェンスやアドバイザリによると、Black Bastaの攻撃はますます高度なものになってきているとのことです。同グループはFIN7といったほかの主要なランサムウェアプレーヤーとの関連が指摘されており、協力関係や共有されているリソースが存在するかもしれないことが示唆されています。高度な技術やツールを駆使し、素早く適応する能力を持つBlack Bastaは、サイバーセキュリティランドスケープにおいて手強い脅威になっているのです。
有名な攻撃事例
Hyundai Europe(2022年4月)
Black Bastaが最も初期に行った攻撃で、かつ最も大きな影響を与えたものはHyundai Europeを対象にした攻撃でした。これにより、Hyundaiのヨーロッパ事業では業務が著しく妨害されただけでなく、データ侵害も発生しました。
Capita(2023年3月)
英国を拠点とする外注企業のCapitaは2023年3月、Black Bastaのランサムウェア攻撃に見舞われており、これによって約3,200万ドルの直接損失が生じたと報じられています。同社はこのほか、攻撃に関連して発生した間接損失(業務上の信用を失い、1億ドルを超える追加の損害を被ったことなど)についても報告しました。
トロント公共図書館(2023年10月)
トロント公共図書館はBlack Bastaランサムウェアの攻撃により、図書館サービスに支障をきたし、公共資源へのアクセスに影響が出るなど業務に大規模な混乱が生じました。
Chilean Government Customs Agency(2023年10月)
チリ政府は、税関当局がBlack Bastaのランサムウェア攻撃に見舞われたことを受けて警告を発出しました。同国政府によると、ITチームの尽力により、被害組織の業務の継続に影響が出ることはなかったとのことです。
米歯科医師会(2022年4月)
米歯科医師会は、Black Bastaの攻撃によって影響を受けたシステムの中断を余儀なくされ、オンラインサービスや電話、Eメール、Webチャットを利用できなくなりました。
金銭的な影響
Black Bastaの攻撃は、自動車、外注、公共サービス、政府、医療、電気通信といったさまざまな部門に深刻な影響をもたらしてきました。同グループの攻撃では通常、データの暗号化と機微情報の抜き取りの両方が行われます。そして抜き取った情報を人質として保持し、身代金を支払わなければ情報を公開すると脅します。この二重恐喝の手口により、被害者には身代金の要求に従わなければならないという圧力がさらに大きくのしかかることになります。
2023年後半、Black Bastaは少なくとも1億700万ドルもの身代金をBitcoinで受け取ったと報告されています。
Black Bastaの今後
Black Bastaは自身の適応力と革新性を原動力にして、これからも重大なランサムウェア脅威であり続けるでしょう。このグループは自身の攻撃手法を磨き続け、ネットワークにアクセスするために高度なソーシャルエンジニアリング(EメールにおけるDDoSとヴィッシングを組み合わせた手法など)を実行するケースが増えていくものと思われます。高度なマルウェアを導入したり、クラウド環境やIoTデバイスといったさまざまなプラットフォームを標的にしたりすることで、このグループの能力はさらに高まると予想されています。
Black Bastaにとって、金銭的なインセンティブは今なお強力なモチベーションです。このグループにこれまで支払われた身代金の総額は1億700万ドルを超えることから、これからもランサムウェアで大きな利益を上げ続けることが予想されます。また、ほかのサイバー犯罪グループとの協力関係によって組織のさらなる体系化が進み、ランサムウェアカルテルの形成につながる可能性があります。こういった提携が行われることで、より組織的な攻撃が行われ、高度なツールや技術が共有されるようになるかもしれません。Black BastaとFIN7のようなグループとのつながりは、これまで以上に高度持続的脅威(APT)との統合が進み、こういったグループに国家が支援するツールや知識が提供される可能性が高まることを示唆しています。
法執行機関による活動や、改善が行われた防御策もまた、Black Bastaの今後に影響をもたらすでしょう。CISAやFBIのような機関の取り組みが強化されれば、Black Bastaは活動を妨害され、これに対応したり、自身をリブランドしたりすることを余儀なくされるかもしれません。各組織がサイバーセキュリティに関する防御策を強固なものにすればするほど、Black Bastaはこれらを破るために新しい技術を導入し続けていかなければならなくなります。
ランサムウェア脅威に対抗しよう
マルウェアの機能と発生源、関連するコミュニケーションチャネルに対する理解を深めると同時に、ランサムウェアグループの一次資料となるコミュニケーション(情報のやり取り)、新たな被害者についての声明、そして被害者・業界・場所ごとの傾向を把握するために、Flashpointのインテリジェンスをお役立てください。犯罪活動やダークウェブフォーラム、マーケットプレイスに関する知見を得て、脅威アクターや情報のリーク、暗号化されたチャット、ランサムウェアのデータリークサイト、脆弱性とオークションマーケットプレイスの実態を明らかにしましょう。
Flashpointの高度な脅威インテリジェンスと包括的なセキュリティソリューションによって、お客様の重要なアセットがどのようにして守られるのかをその目でお確かめください。攻撃をただ待つのではなく、先手を打ってインシデントに備えましょう。今すぐデモをお申し込みいただき、Flashpointの効果を実感してください。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
Flashpointについて詳しくは、以下のフォームからお問い合わせください。
Writer
米国留学後、まず翻訳会社で進行管理・渉外を担当し、その後はパン職人など異業種を経てフリーランスの翻訳家に転身。ヨーロッパのサッカーを中心に、各種スポーツや現代美術、ゲームといった分野で長らく英日翻訳に携わる。2023年夏、サイバーセキュリティをめぐる昨今の状況に危機感を覚え、その実状を幅広い読者に伝えたいという思いでマキナレコードの翻訳チームへ。
大学卒業後、新卒で区役所に入庁し各種事務業務を担当。その後キャリアチェンジのため一般企業へ入社し、システムエンジニアの業務を経験。2023年2月よりマキナレコードの翻訳業務に携わる。