最近出現したBertランサムウェアグループは、複数の亜種と急速に進化する手法を用いて、米国、アジア、ヨーロッパの組織を積極的に標的にしており、検出を回避しています。これはトレンドマイクロの調査によるものです。
Bertは2025年4月以降、医療、テクノロジー、イベントサービスなどの分野を含む組織を標的にしていることが確認されています。
このグループは、ロシアに登録されているASN 39134に関連するリモートIPアドレスからランサムウェアをダウンロードし、実行しています。
「これだけでは犯人の特定にはなりませんが、ロシアのインフラを利用していることは、同地域で活動する、もしくは関連する脅威アクターとのつながりを示唆している可能性があります」と研究者らはコメントしています。
BertはトレンドマイクロによってWater Pomberoとして追跡されており、異なるランサムウェア亜種を使ってWindowsおよびLinuxプラットフォームの両方を標的にしています。
よく知られたツールやコードを再利用しつつ、手法・技術・手順を継続的に洗練させていくことは、新しいランサムウェアグループに見られる広範な傾向の一部です。
「Bertランサムウェアグループが示すように、単純なツールでも感染を成功させることができます。これは、新興グループが効果的であるために複雑な技術を必要とせず、侵入・情報流出・最終的な被害者への圧力まで、一貫した経路さえあれば十分であることを浮き彫りにしています」と彼らは記しています。
このグループが使用している正確な初期侵入手法は、まだ特定されていません。
Bertランサムウェア亜種の進化
7月7日に公開されたトレンドマイクロのレポートによると、Bertは活動開始から短期間で、すでにランサムウェア亜種を改良・効率化しています。
Windowsシステムへの感染を分析したところ、この亜種は単純なコード構造を持ち、特定のプロセスを検出して終了させるための文字列が使われていました。
ファイルは標準のAESアルゴリズムで暗号化されていました。公開鍵、ファイル拡張子、身代金メモは簡単にアクセスできる状態でした。
さらに調査を進めたところ、野生環境でアップロードされた追加のWindows亜種が確認されました。これらはBertランサムウェアの古いバージョンであり、新しいバージョンで見られる暗号化手法や機能の順序が更新されていませんでした。
古いバージョンと新しいバージョンの主な進化点の一つは、暗号化プロセスに関するものです。古いバージョンはまずドライブを列挙し、各ディレクトリに身代金メモを配置してから、暗号化対象の有効なファイルパスを収集し、それらを配列に保存します。
この収集フェーズの後に、マルチスレッド暗号化を実行します。
新しい亜種では、ConcurrentQueueというデータ構造を使用し、各ドライブのディスク処理を補助するDiskWorkerを作成することで、マルチスレッド暗号化プロセスを効率化しています。
これにより、ファイルパスを配列に保存してから暗号化を始めるのではなく、発見したファイルを即座に暗号化できるようになっています。
5月には、研究者がBertに起因するLinuxランサムウェアのサンプルを確認しました。この亜種は50スレッドを使用して暗号化速度を最大化し、システム全体のファイルを迅速に暗号化して検出や中断の可能性を最小限に抑えています。
ESXiホスト上で稼働中のすべての仮想マシンプロセスを強制終了させるコマンドも使用されていました。
暗号化後、この亜種は拡張子.encrypted_by_bertを追加し、身代金メモencrypted_by_bert-decrypt.txtを配置します。
「このバージョンはバイナリ内に埋め込まれたJSON形式の設定ファイルを使用しており、これはほとんどの最新ランサムウェアに共通する特徴です。これにより、異なるキャンペーン間での適応性やカスタマイズが容易になります」とトレンドマイクロは記しています。
研究者らは、このバージョンはREvilグループのLinuxバージョンから派生した可能性があるとも付け加えています。REvilは2021年初頭に初めて確認され、ESXiサーバーやLinuxを標的にしていることで知られています。
PowerShellの悪用
Bertグループの活動のもう一つの特徴は、特権昇格、防御回避、ランサムウェアのロードのために、正規のWindows開発者ツールであるPowerShellを頻繁に利用していることです。
今すぐ読む:侵害後のセキュリティ対策:ハッカーが侵入した場合の対応
例えば、PowerShellスクリプトを使って、Start-Processの-Verb RunAsパラメータを利用し、昇格(管理者)権限でプロセスを起動していました。このパラメータは、Windowsに実行ファイルを管理者として実行するよう明示的に指示するものであり、攻撃者がすでにある程度のアクセス権を持ち、完全な管理者権限に昇格したい場合に使用されます。
また、PowerShellがSet-NetFirewallProfileコマンドを使って、ドメイン、パブリック、プライベートのファイアウォールプロファイルを無効化している様子も観察されました。
PowerShellは近年、検出回避や追加マルウェアのダウンロードなど、さまざまな侵害後の活動において脅威アクターによる利用が増加しています。
「組織は、PowerShellの悪用や不正なスクリプト実行、特にstart.ps1のようなセキュリティツールを無効化し権限を昇格させるローダーの監視を徹底すべきです」と研究者らはコメントしています。
翻訳元: https://www.infosecurity-magazine.com/news/bert-ransomware-globally-multiple/