ランサムウェア集団の内情暴露 彼らが開発した“ヤバいフレームワーク”の実態：Cybersecurity Dive

ランサムウェアグループBlack Bastaのプライベートなチャットログが流出し、その内情が明らかになった。彼らはVPNなどに使われている脆弱なパスワードを推測する自動化フレームワークを開発していたという。

[Rob Wright，Cybersecurity Dive]

　2025年2月、ランサムウェアグループ「Black Basta」のプライベートなチャットログが流出し、この悪名高いランサムウェア・アズ・ア・サービス（RaaS）の過去2年間の戦略および戦術、標的としていた脆弱（ぜいじゃく）性が明らかになった（注1）。

悪名高いRaaSの内情が判明　彼らが使うフレームワーク「BRUTED」とは？

　サイバーセキュリティ事業を営むEclecticIQの研究者たちはチャットを分析し、Black Bastaの攻撃者が2023年以降、VPNやファイアウォールのようなネットワークエッジデバイスを標的にするために使用していたフレームワークを発見した。これはブルートフォース攻撃に使われるもので「BRUTED」と呼ばれており、これまで確認されていなかった。

　Black BastaがBRUTEDを使用していることは、多くの組織がエッジデバイスに脆弱なパスワードや再利用のパスワードを設定し続けていることを意味する。近年、エッジデバイスは、さまざまなサイバー犯罪者や、持続的標的型（ATP）攻撃を実行するグループの格好の標的となっている。

　EclecticIQの分析によると（注2）、BRUTEDは自動的にネットワーク情報を収集し、クレデンシャルスタッフィング攻撃を実行するフレームワークだ。これは、CiscoやFortinet、Palo Alto Network、SonicWall、WatchGuard、Citrixなどの主要なベンダーのVPNやファイアウォール製品を標的にしている。さらに、このツールはリモートデスクトッププロトコル（RDP）を利用するMicrosoftのRDWebのシステムも攻撃対象にできる。

　BRUTEDの自動スキャンにより、サブドメインやIPアドレスに関するデータが収集され、SSL証明書のデータを抽出して特定の組織のパスワードに対する推測が生成される。この際に、脆弱または再利用された認証情報が利用される。EclecticIQのアルダ・ビュユックカヤ氏（脅威インテリジェンスアナリスト）は、分析の中で「このフレームワークは、VPNやRDPの実際のクライアントに似せるために、HTTP/Sに関する適切なリクエストやユーザーエージェント、POSTデータを作成する」と語った。

　「BRUTEDによってBlack Bastaの提携者は、これらの攻撃の自動化と規模拡大が可能となり、被害者の範囲を広げ、ランサムウェアの運用を促進するための収益化を迅速化できる」（ビュユックカヤ氏）

　Black Bastaのブルートフォース攻撃用のツールは、近年VPNに対する脅威活動の増加について民間企業や政府機関から多数の警告や脅威レポートが発表されているにもかかわらず、エッジデバイスのパスワードセキュリティが依然として攻撃者にとって魅力的な攻撃経路であることを示している。サイバーセキュリティ事業を営むQualysは、2025年2月のブログ投稿で「Black Bastaの攻撃者は、ブルートフォース攻撃の初期アクセスを得る際、VPNにおけるデフォルトの認証情報や盗まれた認証情報を悪用することが多い」と指摘した（注3）。

　Qualysの脅威研究ユニットのマネジャーであり、ブログの投稿の共著者であるサイード・アッバシ氏は、「Cybersecurity Dive」に対し「VPNやその他の外部向けサービスにおける脆弱なパスワードや再利用されたパスワードが、依然として多くの組織における課題だ」と語った。同氏によると、流出したBlack Bastaのチャットには、単純または予測しやすい認証情報が複数含まれていたという。

　「不適切なパスワード管理は、（電力やガス、鉄道、空港などの）重要インフラをブルートフォース攻撃やクレデンシャルスタッフィング攻撃の脅威にさらすことになる。このことは、流出したチャットログに裏付けられており、攻撃者が脆弱な認証情報を頻繁に悪用している旨が示されている。リスクを軽減し、組織の資産をより適切に保護するためには、より強固なパスワードポリシーの導入および継続的なセキュリティ監査、ユーザー教育の強化が急務だ」（アッバシ氏）

　皮肉なことに、Black Bastaの内部チャットが流出した原因も同様のブルートフォース攻撃にあった可能性がある。複数の報告によると（注4）、「ExploitWhispers」と名乗る個人がデータを公開したのは、Black Bastaの提携者がロシアの銀行に対してブルートフォース攻撃を実行し、そのネットワークを侵害した後のことだったという。この行為は一線を越えたと見なされたようだ。ロシア語圏のサイバー犯罪グループの多くには、自国の組織を標的にすることを避ける傾向がある。

　Black Bastaはエッジデバイスを攻撃するだけでなく、重要インフラ組織を標的にすることでも知られている（注5）。米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）が2024年に発表した共同サイバーセキュリティ勧告では、このランサムウェアグループが、政府指定の16の重要な業界のうち、医療業界を含む12の業界を攻撃していたとの警告がなされた。

　EclecticIQの分析によると、Black Bastaは産業機械や製造業にも焦点を当てており、運用停止が難しく、身代金を支払う可能性が高い標的を優先して攻撃しているという。

（注1）Leaked ransomware chat logs reveal Black Basta’s targeted CVEs（Cybersecurity Dive）
（注2）Inside BRUTED: Black Basta (RaaS) Members Used Automated Brute Forcing Framework to Target Edge Network Devices（EclecticiQ）
（注3）Defense Lessons From the Black Basta Ransomware Playbook（Qualys Community）
（注4）Infighting brings down the Black Basta ransomware group（ThreatDown）
（注5）Black Basta ransomware is toying with critical infrastructure providers, authorities say（Cybersecurity Dive）

原文へのリンク