Black Bastaランサムウェアグループによる最近のキャンペーンで、攻撃戦術における大きな変化が明らかになりました。
これは標準的な運用からの逸脱で、通常は攻撃者が実際のランサムウェアを実行する前に、セキュリティソフトを無効化するための別ツールを展開します。
この特定のキャンペーンでは、ランサムウェアのペイロードに、NsecSoft NSecKrnlドライバーとして知られる脆弱なドライバーが同梱されています。通常、BYOVD攻撃では、既知のセキュリティ上の欠陥を含む正規のデジタル署名付きドライバーを標的ネットワークに投下します。
攻撃者はその欠陥を悪用してカーネルレベルのアクセスを獲得し、アンチウイルスやEndpoint Detection and Response(EDR)システムを無効化できるようになります。
セキュリティ研究者は、同グループが「Bring-Your-Own-Vulnerable-Driver」(BYOVD)コンポーネントをランサムウェアのペイロード内に直接埋め込むようになったことを発見しました。
ここで使用されているNsecSoftドライバーには、 CVE-2025-68947として識別される重大な脆弱性があります。この欠陥により、ユーザーに適切な権限があるかを検証せずに、ドライバーがコマンドを実行できてしまいます。
これによりランサムウェアは、ドライバーに対して「Input/Output Control」要求を発行し、通常はOSによって保護されている高権限プロセスを強制終了させることができます。
実行されると、ランサムウェアはSophos、Symantec、CrowdStrike、そしてMicrosoft Defender (MsMpEng.exe)を含む、膨大な数のセキュリティプロセスを標的にします。
システムの防御を盲目化した後、ペイロードはファイルを暗号化し、「.locked」拡張子を付加します。
Cardinalの再始動と背景
この活動は、Black Bastaの背後にいる脅威グループ「Cardinal」によるものとされています。この動きが注目されるのは、防御回避をランサムウェア自体に直接組み込むことが稀だからです。
これまで確認されていたのは、Ryukランサムウェア(2020年)と、Obscura(2025年)と呼ばれる小規模な亜種のみでした。2023年8月のテイクダウン以前には、Qakbotボットネットとの強い関連も指摘されています。
この新たな手口は、Cardinalの活動再開を示しています。同グループは、2025年2月に内部チャットログが大規模に流出し、作戦が露呈してウクライナでの警察の捜索につながり、首謀者とされるOleg Evgenievich Nefedovが特定された後、沈黙していました。
法執行機関からの圧力にもかかわらず、この技術的な革新は、同グループがなお進化し続けていることを示唆します。
これらのログを流出させた人物(オンライン上のハンドルネームはExploitWhispers)は、Black Basta がロシアの銀行を標的にしたためだと述べています。
防御側にとって重要な理由
BYOVD攻撃は、その有効性と、正規の署名付きファイルに依存している点(警戒を招きにくい)から、攻撃者に人気があります。
回避ツールとランサムウェアを単一ファイルに統合することには、攻撃者にとって主に2つの利点があります。
- 秘匿性: 被害者ネットワークに投下するファイル数が少ないため、「より静か」です。
- 速度: セキュリティを無効化してからファイルを暗号化するまでの間の空白をなくします。これにより、ドライバーが検知された時点で防御側が対応できる時間はほとんど残りません。
研究者はまた、ランサムウェア展開の数週間前から不審な活動が見られたことも指摘しており、ネットワーク内での長い「潜伏期間(dwell time)」を示唆しています。
防御機能の無力化(通常はアンチウイルス(AV)やエンドポイント検知・対応(EDR)製品の無効化を試みること)は、2026年のランサムウェア攻撃における重要な要素です。
さらに詳しく
情報セキュリティコンサルティング
サイバーセキュリティ研修コース
マルウェア対策ソリューション
ネットワークセキュリティアプライアンス
コンピュータセキュリティ
サイバー保険ポリシー
コンピュータセキュリティ
脆弱性スキャンサービス
エンドポイント検知・対応ツール
インシデント対応計画
ランサムウェア開発者がアフィリエイトを惹きつけるための独自の売りを求める中、この「オールインワン」ペイロードというアプローチは、2026年のサイバー犯罪の世界で新たな標準となる可能性があります。
翻訳元: https://gbhackers.com/black-basta-ransomware-2/
