ビジネス化が進むランサムウエアの世界と新しいランサムウエア攻撃「Buthi」の特徴

ランサムウエアによる被害の報告や報道が増え、ランサムウエアというものが、「システムやデータを暗号化して身代金を要求するもの」「二重脅迫により多くの金銭を要求するもの」という理解はだいぶ進んできたと感じます。

しかし、ランサムウエアの攻撃者や作成者について、十分に理解している人はどれくらいいるでしょうか。インシデントそのものだけでなく、その手法や攻撃者にも目を向けることはMITRE ATT&CK（マイターアタック）にも見られるアプローチで、インシデントの予防や対応に役立ちます。

本記事では、米ブロードコムのブログを参考に、最新のランサムウエアに関する情報をお届けします。ぜひ参考にしてください。

参考：Symantec Enterprise Blogs「Secure Adoption of Generative AI Apps」

この記事を読むのにかかる時間：約6分

ビジネス化で急速な拡大・高度化が進むランサムウエアの世界

冒頭にも紹介した通り、ランサムウエア自体の認知度は上がってきていますが、ランサムウエアの手法や攻撃者についての情勢まで理解している人は多くはありません。

現在、世界には組織的にランサムウエアを開発・使用するグループ（ランサムウエア・グループ）が数多くあります。一定の確率で高額な身代金を獲得できるため、1つのビジネスになっている状況です。ランサムウエア・グループの中でも特に悪質かつ活発な活動を見せるグループは「ランサムウエア・ギャング」と呼ばれ、セキュリティ機関からマークされています。

実際、こうした組織によって闇サイトなどで高性能なランサムウエアが販売されています。最近は、配布用のファイルやC&Cサーバー（※）など実行に必要なものをクラウドで一括提供するRaaS（Ransomware as a Service）も増えているといった状況です。

※C&Cサーバー：マルウエアに感染したデバイスから情報を収集したり、デバイスに遠隔でコマンドを送って実行させたりする役割を持つサーバー。

また、高品質で実績のあるランサムウエアはブランド化され、改良されて多くの亜種が生み出されてファミリーを形成します。ブランド化されたランサムウエアの作成に関わったプログラマーはランサムウエア・グループ間で絶えず引き抜きが行われており、高い報酬を得ていると言われています。一方で、組織からの待遇やその他の不満からプログラマーがランサムウエアのペイロードを流出させるといった事件も起こっています。

こうしてビジネス化したランサムウエアの世界では、急速な拡大と高度化が進んでいます。

安心と安全を提供する Symantec　セキュリティソリューション資料をダウンロード

Buhtiでは再利用されたランサムウエアのコードが使用されている

参考で紹介したブロードコムのシマンテックブログによると、比較的新しいランサムウエアのオペレーションである「Buthi」では、流出したペイロード（※）が再利用されています。

※ペイロード：情報セキュリティでは実行可能なコードやデータ（コマンド）などの意

通常、マルウエアでは追跡や分析、セキュリティソフトによるブロックを回避するためにコードの再利用はあまり行われません。しかし、Buthiでは過去に流出したLockBit（※）やBabuk（※）といったランサムウエアのペイロードから亜種を作成し、独自に作成したBuhtiツールと組み合わせて使用され、WindowsおよびLinuxシステムへの攻撃に使っているようです。

※LockBit：ランサムウエアグループの1つ、または同グループが作成したランサムウエア名。RaaSで提供されており、端末が感染した場合に自動的にネットワーク内でアクセス可能な他の端末を検索して拡散したり、セキュリティツールを無効化したりする特徴を持つ。

※Babuk：ランサムウエアグループの1つ、または同グループ作成のランサムウエア名。システム上のファイルを窃取・暗号化し、データをリークサイトで公開することで二重脅迫を行う。セキュリティの侵害テストで使用されるツールが組み込まれているのが特徴。

Buthiを使用するグループでは、独自のランサムウエアの開発は行わず、特定のファイルの種類を検索・アーカイブできるように設計されたカスタム情報窃取ツールを使っています。

Buthiが世界的に注目され始めたのは2023年2月のことで、当初はLinuxコンピュータを狙った攻撃と報告されていました。しかし、シマンテックの脅威ハンティングチームにより、侵害されたネットワーク上のWindowsコンピュータへの攻撃の試みも発見されました。

このグループでは公開された脆弱性を迅速に突いています。たとえば、最近の攻撃では最近パッチが適用されたPaperCutの脆弱性を利用した攻撃がありました。は既知のサイバー犯罪グループとのつながりが見られないため、シマンテックではその実行者に対して「Blacktail」と命名しています（※）。

※命名：情報セキュリティでは、手法の追跡・情報共有・分析のために侵害に関する一連の動きや情報をまとめ、架空の攻撃者として命名する風習がある。

安心と安全を提供する Symantec　セキュリティソリューション資料をダウンロード

BlacktailによるButhiランサムウエア攻撃の特徴

以下はこのランサムウエア攻撃者BlacktailによるButhiランサムウエア攻撃を行う際の特徴です。

特徴①：LockBitブランドを変更して再利用している

最近のBuhti攻撃では、攻撃者が標的のネットワーク上のWindowsコンピュータにランサムウエアペイロードを展開しようとしました。このペイロードを分析した結果、LockBit 3.0 (別名LockBit Black)というランサムウエアに少し変更を加えたものであることが判明しました。

このペイロードが実行されると、暗号化されたファイルには「.buthi」の拡張子が付加されます。そして、次のような身代金を要求するメモが表示されます。

もともとこのランサムウエアには、LockBitブランドであることを示す次のような画像ファイルをWindowsの壁紙にする機能がありましたが、攻撃者により無効化されていました。

また、感染したコンピュータのシステム情報をC&Cサーバーに送信する機能もありましたが、これも無効化されています。

特徴②：Babukを再利用している

当初、BuhtiはLinuxマシンをターゲットにする、Go言語で書かれたペイロードを持つものとして注目されていました。しかし、シマンテックが複数のLinuxでのペイロードを分析した結果、それらはすべてBabukランサムウエアの亜種でした。

Babukは、ESXiシステムを狙いLinux用のペイロードを備えたランサムウエア攻撃者の元祖ともいえる存在です。Babukのソースコードは2021年に流出し、以降多くのランサムウエアに再利用されています。

この亜種での身代金メモは、Windows用のペイロードと同一であり、支払い先のアドレスのみが異なっていました。

特徴③：使用されている抽出ツールとコマンド

Blacktailでは、少なくとも1つはカスタムマルウエア、つまりデータ抽出ツール (SHA256: 9f0c35cc7aab2984d88490afdb515418306146ca72f49edbfbd85244e63cfabd)を使用しているようです。

これはGo言語で書かれており、次のファイルの種類を検索してzipでアーカイブするように設計されています。

＜対象となるファイルの種類＞
.pdf /.php /.png /.ppt /.psd /.rar /.raw /.rtf /.sql /.svg /.swf /.tar / .txt /.wav /.wma /.wmv /.xls /.xml /.yml /.zip /.aiff /.aspx /.docx /.epub /.json /.mpeg /.pptx /.xlsx /.yaml

このツールでは、コマンドラインで引数を使用することで、対象のファイルを検索する場所と出力アーカイブ名を指定できるようになっています。コマンドラインの引数で「-o」は作成するアーカイブを指定し、「-d」ファイルを検索するディレクトリを指定するものです。

＜コマンドの例＞
CSIDL_WINDOWS\temp\xhfw.exe -o
CSIDL_WINDOWS\temp\output.zip -d CSIDL_PROFILE

特徴④：脆弱性の悪用

最近のBuhti攻撃では、PaperCut NGおよびMFで最近発見された脆弱性( CVE-2023-27350 )を悪用しました。これによって攻撃者は認証を回避してリモートでコードを実行できました。この脆弱性は、2023年3月15日にPaperCutによって公開され、パッチが適用されていますが、複数の攻撃者により、パッチが適用されていないシステムに対してこの攻撃が行われていることが確認されています。

攻撃者はこの脆弱性を悪用し、Cobalt Strike、Meterpreter、Sliver、AnyDesk、および ConnectWise（※）をインストールしました。これらのツールを使い、攻撃者は標的のネットワーク上の複数のコンピュータからデータを盗み、ランサムウエアのペイロードを配信しました。

※いずれもソフト名。本来は侵害テストなどで使用する目的のツール。

Blacktailは新しく発見された脆弱性を突いて攻撃する傾向があるようです。2月には、IBM のAspera Faspexファイル交換アプリケーションの脆弱性 ( CVE-2022-47986 )を悪用しているとの報告もあります。

安心と安全を提供する Symantec　セキュリティソリューション資料をダウンロード

BlacktailのButhiランサムウエア攻撃から自社システムを守るために

このBlacktailによるButhiランサムウエア攻撃に対し、自社のシステムを保護するための対策を紹介します。

対策①：過少評価しない

流出したペイロードの再利用は、熟練度の低いランサムウエアオペレーションによく見られる特徴です。しかし、Blacktailの攻撃の実行における能力や新たな脆弱性の有用性を認識する能力を過小評価すべきではありません。

前述のように、ツールは市場で流通しているため、こうした能力ある攻撃者が最悪の武器を持つケースも想定されます。相手の傾向を知り、油断なく適切なセキュリティ体制を作っていくことが肝心です。

対策②：最新のアップデートで保護/緩和を適用する

デバイスやセキュリティツールは最新の保護を適用しましょう。シマンテックの最新のアップデートについての情報は、Symantec Protection Bulletinを参照してください。

対策③：侵害の兆候（IOC）を利用する

IOCが不正を示し、そのファイルを当社で利用できる場合は、シマンテックのエンドポイント製品でそのファイルを検出してブロックします。