TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

新たなBertランサムウェアグループが複数の亜種で世界的に攻撃

最近出現したBertランサムウェアグループは、複数の亜種と検知回避のために急速に進化する戦術を用いて、米国、アジア、欧州の組織を積極的に標的にしていることが、トレンドマイクロの調査で明らかになった。

Bertは2025年4月以降、組織を標的にしていることが確認されており、医療、テクノロジー、イベントサービスなどの分野で被害者が確認されている。

同グループは、ロシアに登録されているASN 39134に関連付けられたリモートIPアドレスからランサムウェアをダウンロードして実行する。

研究者らは「これだけで帰属を確定するものではないが、ロシアのインフラの使用は、この地域で活動している、または関連する脅威アクターとの潜在的なつながりを示唆する可能性がある」とコメントした。

トレンドマイクロがWater Pomberoとして追跡しているBertは、異なるランサムウェア亜種を用いてWindowsとLinuxの両プラットフォームも標的にしている。

既知のツールやコードを再利用しつつ、戦術・技術・手順(TTP)を継続的に洗練させることは、新興ランサムウェアグループに見られるより広範な傾向の一部である。

彼らは「Bertランサムウェアグループが示すように、単純なツールでも感染の成功につながり得る。これは、新興グループが効果を発揮するために複雑な手法を必要としないことを浮き彫りにしている――侵入、情報流出、そして最終的に被害者に対するレバレッジ獲得という目標までの確実な道筋さえあればよい」と記した。

同グループが用いた正確な初期アクセス手法は、まだ特定されていない。

Bertランサムウェア亜種の進化

7月7日に公開されたトレンドマイクロのレポートでは、Bertが活動開始から短期間のうちに、ランサムウェア亜種をすでに改良し、合理化していることが指摘された。

Windowsシステムへの感染の分析では、当該亜種が単純なコード構造を用い、特定のプロセスを照合して終了させるための文字列を備えていることが判明した。

ファイルは標準的なAESアルゴリズムで暗号化された。公開鍵、ファイル拡張子、身代金要求メモは容易に参照可能だった。

同グループに関する追加調査により、野外でアップロードされた別のWindows亜種が特定された。これらのサンプルは古いBertランサムウェアのバージョンで、新しいバージョンで見られる更新された暗号化手法や関数シーケンスを欠いていた。

旧版と新版の間で観測された主要な進化の一つは、暗号化プロセスに関するものだ。旧版はまずドライブを列挙し、各ディレクトリに身代金要求メモを配置してから、暗号化対象となる有効なファイルパスを収集して配列に保存する。

この収集フェーズの後にのみ、マルチスレッド暗号化へと進む。

新しい亜種では、データ構造ConcurrentQueueを使用し、各ドライブ上のディスク処理を支援するDiskWorkerを作成することで、マルチスレッド暗号化プロセスを合理化している。

これにより、暗号化前にファイルパスを配列へ保存するのではなく、ファイルが見つかり次第すぐに暗号化を開始できる。

5月には、研究者らがBertに帰属するとされるLinuxランサムウェアのサンプルを特定した。この亜種は暗号化速度を最大化するために50スレッドを使用し、システム全体のファイルを迅速に暗号化して、検知や中断の可能性を最小化した。

ESXiホスト上で稼働中のすべての仮想マシンプロセスを強制終了させるコマンドが使用されていた。

暗号化後、この亜種は拡張子.encrypted_by_bertを付与し、身代金要求メモencrypted_by_bert-decrypt.txtを配置する。

トレンドマイクロは「このバージョンは、バイナリに埋め込まれたJSON形式の設定を使用している。これは、異なるキャンペーン間での適応性向上とカスタマイズ容易化を可能にするため、現代のランサムウェアの大半に見られる典型的な特徴だ」と記した。

研究者らはさらに、このバージョンは、2021年初頭に最初に特定され、ESXiサーバーとLinuxを標的にすることで知られるREvilグループのLinux版に由来する可能性があると付け加えた。

PowerShellの悪用

Bertグループの活動におけるもう一つの特徴は、権限昇格、防御回避、そしてランサムウェアのロードのために、正規のWindows開発者ツールであるPowerShellを頻繁に使用する点である。

今すぐ読む:侵害後セキュリティ:ハッカーが侵入したときに何をすべきか

例えば、PowerShellスクリプトは、Start-Processで-Verb RunAsパラメータを使用することで、昇格(管理者)権限でプロセスを起動するために用いられた。このパラメータは、Windowsに対して実行ファイルを管理者として実行するよう明示的に指示するものであり、攻撃者がすでにある程度のアクセス権を得ていて、完全な管理者権限へ昇格したい場合に利用される。

またPowerShellが、Set-NetFirewallProfileコマンドを用いてドメイン、パブリック、プライベートの各ファイアウォールプロファイルを無効化する様子も観測された。

PowerShellは近年、検知回避や追加マルウェアのダウンロードなど、侵害後のさまざまな活動のために脅威アクターによって利用されるケースが増えている。

研究者らは「組織は、PowerShellの悪用と不正なスクリプト実行を綿密に監視すべきであり、とりわけセキュリティツールを無効化して権限を昇格させるstart.ps1のようなローダーに注意すべきだ」とコメントした。

翻訳元: https://www.infosecurity-magazine.com/news/bert-ransomware-globally-multiple/

ソース: infosecurity-magazine.com
#AES暗号化 #Bertランサムウェア #ESXi標的 #PowerShell悪用 #Trend Micro #Water Pombero #WindowsとLinux #ランサムウェア攻撃 #ロシア関連インフラ(ASN 39134) #多スレッド暗号化

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新