Cybereasonは6月24日(米国時間)、公式ブログ「Cybereason vs. Black Basta Ransomware」において、2022年4月に発見された新種のランサムウェア「Black Basta」に関する分析結果を公開した。このランサムウェアはさまざまな業界を標的としており、わずか2カ月ですでに50人近くの被害者を出しているという。
Black Bastaは単に被害者のデータを暗号化するだけでなく、機密情報を盗み出し、支払いが行われない場合は盗まれたデータを公開するという二重の脅迫を行うとされている。
レポートによると、Black Bastaを展開する攻撃グループは、2022年6月初旬に別のマルウェア「QBot」を用いてこのランサムウェアを広めたことを発表したという。QBotは別名「Qakbot」とも呼ばれる10年以上前からさまざまな亜種が存在しているマルウェアだが、近年では攻撃の足がかりとなる資格情報を収集するためのツールとして、ランサムウェアグループなどが利用するケースが確認されている。
標的のシステムへの感染に成功したBlack Bastaは、Windowsのvssadmin.exeを使用してシステムのシャドウコピーを削除することでVSS(ボリュームシャドウコピーサービス)からのリストアを不可能にするという。その上でデスクトップの背景画像を変更し、ファイルを暗号化した上で、readme.txtという名前の身代金メモを作成する。
当初のBlack BastaはWindowsを標的にしたものだけだったが、6月初旬にはエンタープライズLinuxサーバで実行されているVMware ESXi仮想マシンを暗号化する機能が追加されたことも報告されている。VMware ESXiは企業のシステムで広く利用されているため、ランサムウェアの標的としては人気があるという。
一連の展開から、CybereasonはBlack BastaのグループがContiやBlackMatterなどといったメジャーなランサムウェアグループの仲間入りを狙っているのではないかと指摘している。