BRUTED：VPNブルートフォース攻撃自動化ツールをBlack Bastaランサムウェアが作成

BRUTED：VPNブルートフォース攻撃自動化ツールをBlack Bastaランサムウェアが作成

BleepingComputer – March 14, 2025

Black Bastaランサムウェアが、ファイアウォールやVPN等のエッジネットワーキングデバイスへのブルートフォース攻撃を大規模かつ自動的に実行するためのフレームワーク「BRUTED」を作成していたとEclecticIQの研究者Büyükkaya氏が明らかに。同氏は、先日リークされた同グループの内部チャットを分析した結果このツールを発見したという。

Büyükkaya氏によれば、Black Bastaは2023年からクレデンシャルスタッフィングやブルートフォース攻撃を実施するためにBRUTEDを使用。2024年には大規模なブルートフォース攻撃やパスワードスプレー攻撃が数件行われたと報じられているが、この一部についてもBRUTEDと関連している可能性があるという。Büyükkaya氏がソースコードを分析したところ、BRUTEDは次のVPN/リモートアクセス製品に対してブルートフォース攻撃を仕掛けられる設計になっていることが判明している：SonicWall NetExtender、Palo Alto GlobalProtect、Cisco AnyConnect、Fortinet SSL VPN、Citrix NetScaler（Citrix Gateway）、Microsoft RDWeb、WatchGuard SSL VPN。

攻撃を仕掛ける上でBRUTEDはまず、公にアクセス可能なエッジネットワーキングデバイスの中から、サブドメインを列挙するなどしてターゲットリストに合致するものを探し出す。マッチするものが見つかり、その情報がC2サーバーへ報告されると、C2からパスワードの候補が送り返される。BRUTEDはこの情報とローカルで生成された予測候補と組み合わせ、複数のCPUプロセスを通じて多数の認証リクエストを実行するという。加えて、BRUTEDにはターゲット端末のSSL証明書からコモンネーム（CN）とサブジェクト代替名（SAN）を抜き出す性能があり、これを利用してターゲットのドメインや命名規則に基づくさらなるパスワード候補を生成可能であることも報告されている。

BRUTEDのようなツールは最小限の労力で多数のネットワークを侵害することを可能にし、ランサムウェアオペレーションを効率化する。こうした脅威から自組織を守るためには、すべてのエッジデバイス・VPNアカウントにユニークなパスワードを使用し、多要素認証を有効化することが鍵になるという。また、未知のロケーションからの認証試行や、多過ぎるログイン不成立が観測されないか認証プロセスをモニタリングすることと、レート制限ポリシーおよびアカウントロックアウトポリシーを導入することが重要になるとのこと。

LockBitランサムウェアの開発者とされる容疑者、米国へ送還される

SecurityWeek – March 14, 2025

米国司法省は13日、昨年イスラエルで逮捕されたLockBitランサムウェアの開発者とされるRostislav Panev容疑者の身柄が米国へ引き渡されたことをアナウンス。今後Panev容疑者は、サイバー犯罪への関与容疑をめぐって米国内で告訴される見込みだという。

Panev容疑者は2022年6月から2024年2月までLockBitランサムウェアの開発に携わっていた疑いがあり、この間毎月およそ10,000ドル相当の暗号資産を報酬として受け取っていたという。容疑者自身もLockBitグループのためにコーディングや開発、コンサル業務を行ったことを認めていると言われている。

米国はこれまでに、LockBitのオペレーションに関与した疑いのある個人を7人逮捕・起訴しており、このうち何人かは拘束されているが、主要な管理者「LockBitSupp」とされる人物（Yuryevich Khoroshev）やその他数名はまだ逃走中で、逮捕へつながる情報には最高1,000万ドルの報奨金が提示されているとのこと。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート