Black Bastaの失態:リークされたチャットが暴いた実態
脅威概説 - 2025年3月17日
概要
「Black Basta」という悪名高いランサムウェアグループが、Telegramチャンネルにそのグループが使うMatrixチャットサーバーのログがリークされたことでその存在が明らかになりました。このグループはRyukやContiといった犯罪組織とも関連があります。bestflowers247[.]onlineというドメインでホスティングされたこのチャットサーバー内の情報が「ExploitWhispers」と名��乗る人物によってリークされました。リークされたファイルに含まれていたJSONドキュメントには、タイムスタンプ、送信者および受信者情報、スレッドID、メッセージ内容の詳細など、メンバーが使用している主要なアカウントやドメインの特定に役立つ情報、グループの運営に関する貴重な情報が含まれていました。
リークされたチャットデータは、Black Bastaの内部活動を把握するだけでなく、より広範なランサムウェアのエコシステムの解明に役立つ情報も含まれています。グループがどのようにこのエコシステムを利用しているかを理解することで、その規模や能力に関する貴重な視点を得ることができ、さまざまな方法を通してその有効性と影響を評価することができます。1つのアプローチとしては、犯罪企業のものとされる暗号通貨取引を分析することです。ブロックチェーンインテリジェンス企業ChainalizationのKaitlin Martin氏は、Black Bastaのリークに関連してこの点を強調しています。
「リークされたBlack Bastaのチャット内のオンチェーンおよびオフチェーンデータは、同グループが活動を様々なWebサービス、サードパーティサービス、ダークWebフォーラムに依存している�ことを示しています。Black Bastaだけでなく、他のランサムウェアグループもこれらのサービスに課金している事実は、これらのサービスがランサムウェアエコシステムの重要なインフラストラクチャの一部であることを示しています。」
研究者らは、金融取引や運営の依存関係を調査することで、これらのグループがどのようなエコシステム内で活動し、持続しているのかをより良く理解することができます。
このエコシステムで重要な点の1つは、ランサムウェアグループの標的の選定方法です。確かに、世界の一部の業界や地域が過度に影響を受けている事実はありますが、ランサムウェアグループは特定の標的を選んでいるというよりも、すでに侵害されたマシンのプールの中から特定の標的を選んでいるように見受けられます。ランサムウェアグループは、毎日何千台ものマシンを感染させる犯罪チームと協力して侵害済みのシステムのリストを入手し、その中から資金力のある企業が保有するシステムに狙いを定めます。
多くの場合、ランサムウェアグループは、犯罪市場やフォーラムで取引されている膨大な量の資格情報を漁り、その情報をもとに標的とするホストへの初期アクセスを購入します。これらの資格情報はLummaC2のような情報窃取ツールによって収集され、その多くはRDWeb、Citrix、ブラウザベースのVPNなどのリモートアクセスシステムのアカウントに関連するものです。このような標的選定プロセスを理解することで、ランサムウェ��アの活動を本格的な攻撃に発展させる前の対策として、堅牢な認証情報セキュリティ、ネットワークセグメンテーション、事前予防的な脅威監視がいかに重要であるかが見えてきます。
リーク以前、Black Bastaは非常に効果的とも言えるランサムウェアの運営を行い、多数の企業を侵害し、数百万ドルもの損害と身代金支払へと発展させてきました。リークされたチャットデータからは、このグループの戦術、技術、手順(TTP)に関する情報が得られ、その運用方法を読み解くことができます。Cloudflareはこのデータを活用してBlack Bastaの活動の痕跡を辿ることで、同グループのインフラ環境および攻撃手法に関する独自の知見を得ることに成功しました。企業の皆様はこの情報を活用することで、Black Bastaのようなランサムウェアグループについて理解を深め、防御を強化し、次の動きを積極的に予測することで、将来の攻撃の被害に遭うリスクを軽減することができます。
Cloudforce OneがBlack BastaのTTP(戦術、技術、手順)を分析
Cloudforce Oneがbestflowers.jsonファイルを入手した際、まずチャット内で発言があったインフラを列挙し、独自性の高いものに焦点を当てました。この作業の過程で、当社はBlack Bastaがデータの流出を促進し、リモートインフラストラクチャを隠蔽するために使用した手法を特定しました。当社ではこのインフラを徹底的に分析し、その潜在的な影響を評価しました。その結果、チャットで言及されていた多くのドメインが使用されていないことが確認されました。このことは、これらは先に作成されたものの運用に至らなかったものであることを示唆しています。
Black Bastaは、インフラストラクチャプロバイダーにアカウントを設定する際、一貫したプロセスを踏んでいました。グループメンバーはほとんどの場合チャットで作成するアカウントの詳細を名前、住所、サインイン情報を含めて共有していました。メールアドレスには、無料のメールサービスを活用するのではなく、企業に似たドメインを使用していました。それらのインフラを管理する際は、さまざまなネットワークから接続し、使用する匿名サービスにもばらつきがありました。使用するパスワードは比較的複雑でしたが、複数のアカウントで同じパスワードを繰り返し使っていました。
Black Bastaが使用するインフラに関する調査を終えた後、私たちはチャットの内容を精査し、初期アクセス手法、エクスプロイト後の戦術、交渉戦略などを分析しました。Black BastaはQakbotのような先発隊ともいえるマルウェアを積極的に利用して、世界中の膨大な数のマシンに侵入していました。アクセス権を獲得した後、永続的なビーコンのインストール、ディレクトリの列挙、権限昇格などよく知られた技術を含むエクスプロイト後の作業を通して、高い身代金を獲得できる標的を特定しました。
一部のケースでは、情報窃取ツールによって収集された資格情報を使った方法など、他の方法でシステムに侵入するものもありました。Cloudforce Oneは、情報盗用ログ情報が集まる専用のTelegramチャネル内で取引および無料で共有されている認証情報のコレクションから、関連するアカウントの一部を発見しました。これらの侵害されたアカウントの1つが関与するTelegramメッセージの例を、以下の画像に示します。
Black Bastaが認証情報の窃盗とマルウェアに依存していることから、ランサムウェアのエコシステムは単純なものではなく、複雑に絡み合っていることが分かります。このエコシステムは、初期アクセスのためのインフラだけでなく、その活動を支える財務的なインフラにも大きく依存しています。ランサムウェア被害に対する支払いは主にビットコインなどの暗号通貨を通じて行われます。リークされたチャットには、支払い先として使用される暗号通貨アドレスが多数含まれており、これらのアドレスをクラスタリングしてBlack Bastaの財務状況や影響を分析することができます。
また、同グループはインフラの支払いを手配する際にも暗号通貨に言及しており、場合によっては複数種類の暗号通貨の支払いオプションを提示されていることもありました。これは、2022年にリークされたContiチャットでも見られた慣習で、チームメンバーは、仮想プライベートサーバー、ドメイン名��、VPNサービスの支払いに暗号通貨を利用するよう管理者に日常的に要求していました。
自衛方法
多くの学術誌やブログでは、ランサムウェア軽減対策を推奨していますが、多くの場合、その問題の根本原因には触れられていません。ランサムウェアグループは通常、いくつかの主要な方法で初期アクセスを獲得します:
資格情報の窃盗と転売:情報窃取者は、リモートアクセスの資格情報を収集し、初期アクセスブローカーに販売します。これらのブローカーは、次にランサムウェアグループに販売します。
先発隊となるマルウェアの展開:脅威アクターは、広範なスパムキャンペーンを通じてQakbotやIcedIDのようなマルウェアを配布します。その後、感染したマシンから高い身代金を獲得できそうなランサムウェアの標的を特定します。攻撃者は多くの場合、スクリプトが埋め込まれた添付ファイル付きのメールや、クリックすると悪意のあるペイロードをダウンロードして実行されるスクリプトが含まれるリンクを通じてこのマルウェアを配布します。
脆弱なエッジデバイスの悪用:ラン��サムウェアグループは、ファイアウォール、VPN機器、ファイル共有サービスのパッチ未適用の脆弱性を悪用して、不正アクセスを試みます。多くのランサムウェアインシデントはこうしたセキュリティの弱点から発生しています。
ランサムウェアへの曝露を減らすための推奨事項:
ブラウザに保存されたパスワードを無効にする:組織パスワードマネージャーを提供する企業は、ユーザーがWebブラウザに認証情報を保存できないようにしましょう。
セキュアなリモートアクセスシステム:RDP、RDWeb、Citrix、VPN、およびインターネットに公開されているその他のリモートアクセスサービスを使用する際は、多要素認証(MFA)を要求するようにしましょう。
違法ソフトウェアについてユーザー教育を行う:不正なソフトウェアは情報窃取の主要な発生源となることが多く、盗まれた資格情報は後にブローカーに初期アクセス情報として販売されてしまいます。
メール添付ファイルを慎重にフィルタリングする:マクロやスクリプトなどの�アクティブコンテンツを含む添付ファイルをブロックし、マルウェアの流布を防止しましょう。
危険なoffice文書のマクロをブロックする:インターネットからダウンロードされたことを示す「Mark of the Web」が付けられたOffice文書のマクロを実行できないようにしましょう。
Cloudflareのネットワークで不正利用を報告する:不審なアクティビティを発見した場合は、CloudflareのTrust Hubで報告してください。
安全性が損なわれたことを示す兆候
以下のドメインリストはリークされたBlack Bastaのチャットからのもので、マルウェアやデータ流出に関与していると考えられます。これらのドメインの一部は過去に活動していたものの、今後のトラフィックに表れる可能性は低いものもありますが、過去のデータを分析することで、過去の接続に関する情報を得ることができます。これらのドメインに関連する過去の通信が確認された場合、マルウェアがコマンド&コントロール(C&C)サーバ�ーとの通信していた痕跡である可能性があります。
この表には、リークされたチャットのやり取りの中から見つかった代表的なドメインとIPアドレスの一部を掲載していますが、あくまでもCloudforce Oneが追跡したBlack Bastaの指標の一部に過ぎません。指標の完全なリストと追加の実用的なコンテキストについては、Cloudforce One脅威イベントプラットフォームをご覧ください。
Cloudforce Oneについて
Cloudflareでは、より良いインターネットの構築を支援することをミッションとしています。より良いインターネットは、信頼を破壊しインターネットを捻じ曲げて個人的または政治的な利益をもくろむ脅威アクターを検出、阻害、弱体化する善意の力によってのみ実現します。セキュリティチームが速やかかつ自身のある判断のために必要なコンテキスト情報をもたらすため、脅威インテリジェンスを発行することを課題に世界有数の脅威リサーチャーが活動するCloudflareの専属チームであるCloudforce Oneがこれを支えています。他の誰もが持つことのないユニークな洞察により、攻撃を特定し、これを防御しています。
インターネットの約20%を包含する、Cloudflareの持つ世界最大級のグローバルネットワークこそが、その可視性の根源となっています。弊社サービスは、インターネッ��トの隅々に渡り無数のユーザーによって採用されており、最も注目すべき攻撃を含めグローバルで起きているイベントに対し、弊社には比類なき可視性が得られています。この有利な視野を持つことで、Cloudforce Oneはリアルタイムでの偵察を行い、開始地点から攻撃を阻害し、インテリジェンスを戦略的な成功へと変えることができるのです。
