トレンドマイクロがBERTを警告：急速に拡大するランサムウェアの脅威

新たな脅威アクターであるBERTは、急速に活動範囲をアジア、ヨーロッパ、米国へと拡大している高速なランサムウェアグループとして登場しました。今年4月に発見され、BERTはWindowsとLinuxの両方のシステムを標的にしています。

トレンドマイクロによって「Water Pombero」として追跡されているこのグループは、医療、テクノロジー、イベントサービスなどの重要インフラ分野を標的としています。

Windowsバリアントを標的とする際、BERTランサムウェアグループは、特定のプロセスを一致させて終了させるための特定の文字列を用いたシンプルなコード構造を採用しています。トレンドマイクロの調査中、同社はPowerShellスクリプトを発見しました。これはBERTランサムウェアのペイロードのローダーとして機能します。

このスクリプトは権限を昇格させ、Windows Defenderやファイアウォール、ユーザーアカウント制御を無効化し、その後リモートIPアドレス185[.]100[.]157[.]74からランサムウェアをダウンロードして実行します。ただし、正確な初期侵入手法は依然として不明だとトレンドマイクロはブログ記事で述べています。

Linuxシステムでは、BERTは50の同時スレッドを利用して暗号化速度を最大化し、検知や中断の可能性を最小限に抑えつつシステム全体のファイルを迅速に暗号化します。特に注目すべきは、ESXi仮想マシンをシャットダウンできる点だとトレンドマイクロは述べています。

警鐘

BERTは高度なコードを展開しているわけではありませんが、グループのツールや戦術はスピードとインパクトを重視して設計されており、世界中のセキュリティ専門家にとって増大する懸念となっています。

「BERTは弱いパスワード、不十分なエンドポイント保護、過剰な管理者権限、監視の欠如、安全でないバックアップを悪用します。防御を無効化し、迅速に動き、仮想マシンさえも標的にできるため、復旧が困難になります」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。BERTランサムウェアはシンプルでありながら危険です。なぜなら高速で動作し、セキュリティツールやファイアウォールを無効化し、攻撃者にとって使いやすいからです。開発者は常に改良を重ねており、検知や阻止がますます困難になっていると彼は付け加えました。

CSOにとって、これらの戦術は警告サインとなるべきです。基本的なスクリプトや一般的なツールであっても、精密な攻撃や設定の弱点と組み合わされば企業の防御を突破することができます。

「セキュリティチームは、リモートコードのダウンロードやセキュリティツールの無効化を試みるPowerShellセッション、ユーザーアカウント制御のバイパス行為を厳重に監視すべきです。特にESXiやvCenterのログにおける大量の仮想マシンシャットダウンの動きは即座に警告を発するべきです。カナリーファイル（早期検知のトリップワイヤーとして機能するファイル）も重要です」とAnkura Consultingのシニアマネージングディレクター、Amit Jaju氏は述べています。

Jaju氏は、CISOはPowerShellの制限付き言語モードの強制、ジャストインタイムの管理者権限の採用、ハイパーバイザーAPIの異常行動の監視、迅速な封じ込めのためのスクリプト化されたプレイブックの実装（理想的には検知から15分以内）を推奨しています。

防御を強化するために、SOCチームやCISOは侵害が発生することを前提とし、迅速な検知と対応に注力しなければなりません。「EDR/XDRのような多層防御、ネットワークのセグメンテーション、厳格な権限管理の導入、アプリケーションの許可リスト化、隔離された定期的なバックアップの維持、脆弱性の迅速なパッチ適用、従業員へのフィッシングや脅威認識の教育、積極的な脅威ハンティングやインシデント対応訓練の実施が必要です」とJain氏は付け加えました。

ローコード、高インパクト

BERTは孤立した開発ではなく、能力が高く発見が困難な新興ランサムウェアグループの増加傾向の一部です。わずか過去3～4か月の間にも、サイバーセキュリティ研究者は、よりスリムでローコード、かつ高速なマルウェア運用へのシフトを示す複数の新しいランサムウェアファミリーを特定しています。

例えば、4月に発見されたGunraランサムウェアは、暗号化したファイルに.encrt拡張子を付与し、複数のディレクトリにr3adm3.txtという身代金要求メモを残します。医療、電子機器、飲料製造分野を標的にしているとされています。

Silentランサムウェアグループは、サブスクリプションサービスを提供する有名企業を装ったコールバック型フィッシングメールで知られていますが、戦術を変更し、顧客記録や電話番号、知的財産、社内メールなどの機密データを盗み出した後に身代金要求を行うようになっています。

「CISOは現在、2つの新たなランサムウェアの典型例に直面しています。Gunraグループのような『ラウドロッカー』はマルチスレッドやアンチリカバリ機能でシステムを即座にロックダウンし、Silent Ransomグループのような『クワイエットサイフォナー』はマルウェアを一切使いません。Mamonaのようなグループは第3のハイブリッド型で、迅速かつマルウェアが少なく、オフラインで動作し実行後に痕跡を消すことが多いです」とGreyhound Researchのチーフアナリスト兼CEO、Sanchit Vir Gogia氏は述べています。