ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は、4つの特徴を持つランサムウェア「Black Basta」を紹介します。
着実に被害を拡大しつつあるBlack Basta
Black Bastaは2022年4月に初めて確認されたランサムウェアです。わずか2カ月程で50を超える人や組織が被害を受け、その後も被害が拡大しています。FortiGuard Labsはその初期段階からこのマルウェアの追跡・分析を続けており、2022年5月2日に以下のページで警告を発しました。
「New Ransomware "Black Basta" in the Wild」 https://www.fortiguard.com/threat-signal-report/4518/new-ransomware-black-basta-in-the-wild
最近の大規模な事例として、スイスの多国籍テクノロジー企業である「ABB(旧称アセア・ブラウン・ボベリ:Asea Brown Boveri)」が、2023年5月にこのランサムウェアによるサイバー攻撃を受けています。この際、一部のデータが窃取され、業務の混乱とプロジェクトの遅延を招いたと報道されています。
ABBは、2022年12月期の売上高が261億米ドルを超え、10万人以上の従業員が100カ国以上でビジネスを展開しています。米国政府をはじめとする幅広い顧客との取引があるため、Black Bastaの攻撃を受けた際には顧客とのVPN接続を停止し、ランサムウェアの感染拡大を防いだともいわれています。
6月初旬時点でのFortiGuard Labsの調査によれば、Black Bastaのデータ流出サイトには、北米と欧州の200を超える被害者がリストアップされています。そのうち60%以上は米国の組織とされ、2位はドイツで15%、3位はカナダで6%近くに上っています。
ターゲットとなった国を時系列で見ると、当初は12カ国にまたがっていましたが、その後は北米と欧州の8カ国に集中しています。これは攻撃者がターゲットリストを絞り込んでいるためと考えられますが、他の国も安心はできません。後述するように、このランサムウェアは「RaaS」というビジネスモデルを採用しており、この仕組みを購入した別の組織や個人が、このランサムウェアを使った攻撃を行う可能性があるからです。
今回Black Bastaを取り上げる理由は、このランサムウェアが着実に被害を拡大していることに加え、企業を狙った組織的なサイバー攻撃の典型的な特徴を備えているからです。以下、Black Bastaの特徴について、簡単に説明していきます。
特徴1:「RaaS型」ビジネスモデルを採用
RaaSとは「Ransomware as a Service」の略であり、ランサムウェアをサービスとして提供するビジネスモデルです。RaaSで提供されるランサムウェアを使用して攻撃を行う攻撃者のことを「アフィリエイト」と呼びます。以前からランサムウェアを販売するビジネスモデルは存在しましたが、RaaSではランサムウェアそのものだけではなく、被害者との交渉や身代金の受け取りを行う仕組みなども提供しているのが一般的です。アフィリエイトはこれらを「サービス」として利用でき、その使用料金や身代金の一部をRaaS提供者に支払います。
RaaSの恐ろしいところは、スキルの低い攻撃者でも簡単にランサムウェア攻撃を仕掛けられるため、より多くの組織や個人が標的にされるリスクが高まることです。また、特定の企業や組織を標的にして内部情報を探るといった作業と、そこを攻撃するためのランサムウェアや仕組みを開発する作業を分業できるため、標的型攻撃を効率的に行えるという特徴もあります。
ランサムウェア攻撃には標的型攻撃の他に、不特定多数を無差別に狙う「Spray and Play(下手な鉄砲も数打ちゃ当たる方式)」という攻撃方法もありますが、より高い成果を生み出せるのは標的型攻撃です。特定の組織を狙って周到に準備された攻撃は、回避が極めて困難であり、相手の状況を見極めた上で最大の身代金を請求できる可能性も高いからです。実際にBlack Bastaを使用した攻撃も、ほとんどが標的型攻撃であったと考えられています。
特徴2:多様な感染経路で侵入
Black Bastaの侵入経路は実にさまざまです。代表的な経路としては、悪意のあるファイルが添付されたフィッシングメールを使う、IAB(Initial Access Brokers)から標的となる組織の認証情報を購入してリモートアクセスで侵入する、「PrintNightmare」や「Follina」といった脆弱性を狙って攻撃を仕掛ける、QBotを使って侵入する、などが挙げられます。
ここで、これら経路について簡単に解説しておきましょう。
まずIABとは、サイバー攻撃の最初の段階となる「標的への不正アクセス」の手段を、ビジネスとして提供するブローカー組織のことです。IABはターゲットとなる組織への侵入経路を確保した上で、そのアクセス権を闇取引のオークションなどで販売しています。
アクセス権取得のために悪用されるマルウェアで有名なものが、「Spray and Play」型ランサムウェアとして知られる「Emotet」です。このマルウェアは、侵入直後にはデータ暗号化や身代金要求を行わず、他のランサムウェアを引き込んで攻撃を行うケースが数多く発見されています。
次に「PrintNightmare」と「Follina」ですが、いずれもWindowsの脆弱性です。前者は「印刷スプーラーサービスで任意のコードが実行される」という、2021年6月頃に発覚した脆弱性であり、同年8月にパッチがリリースされています。後者は「Wordファイルなどを開くかプレビューすることで任意のコードが実行される」という脆弱性であり、2022年5月末に発覚、同年6月にはパッチがリリースされています。
最後に「QBot」ですが、QuackBot、QakBotとも呼ばれ、2008年頃から存在が確認されているトロイの木馬型マルウェアです。侵入したシステムから銀行口座関連のデータを窃取するといった特徴から「バンキング型トロイの木馬」といわれることもあります。しかし、Qbotは口座情報だけではなく、ログイン情報やキー入力情報なども窃取します。そのため、ランサムウェアを侵入させる前段階で、QBotが使われることが少なくありません。