特徴3:Windowsに加えてVMware環境も標的に

Black Bastaは多くのランサムウェアと同様に、登場した当初はWindowsのみをターゲットにしていました。しかしその後、ターゲットをVMware ESXiにも拡大し、その亜種が2022年6月に発見されています。

実はVMware ESXiを感染対象とするランサムウェアは、すでに数多く発見されています。VMware ESXiに侵入することで、その上で稼働する数多くの仮想マシンのファイルを一気に暗号化できるようになり、攻撃者にとって効率が良いからです。

VMware ESXiを狙うBlack Bastaは、VMware ESXi上で稼働するLinuxに侵入し、それがVMware ESXi上で稼働していることを確認した上で、ファイルを暗号化します。

特徴4:データ流出も伴う二重脅迫を行う

Black Bastaはデータの暗号化だけではなく、暗号化する前にデータを窃取することも、重要な特徴の一つになっています。実際に、被害を受けたケースの8割以上で、データ流出が確認されています。

なぜデータ流出していることがわかるのかというと、このランサムウェアが「ネーム・アンド・シェイム」という手法を使っているからです。これは、身代金を支払わなかった被害者の名前を、攻撃者が運営するサイトに掲載して辱める、というやり方です。Black Bastaは「Basta News」というTORサイトを運営しており、ここで被害者リストやデータ流出状況を確認できます。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

Black Basta

「Ransomware Roundup:Black Basta」(James Slaughter and Shunichi Imano、2023年6月22日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)、寺下 健一(フォーティネットジャパン チーフセキュリティストラテジスト)