流出したチャットログを分析してみたら……、明らかになったランサムグループの戦略

サイバー犯罪グループ「Black Basta」は、Microsoftの脆弱性に加え、ネットワークエッジデバイスや通信ソフトウェアの脆弱性を狙っていた。

[Rob Wright，Cybersecurity Dive]

　悪名高いランサムウェアグループ「Black Basta」から流出したチャットログを研究者たちが分析した結果、62件の固有の脆弱（ぜいじゃく）性が見つかり、そのうち53件は実際に悪用されていたことが分かった。

チャットログから分かったランサムグループの戦略とは

　サイバーセキュリティ企業であるVulnCheckの調査によれば、Black Bastaは主にMicrosoft製品や「Citrix Netscaler」「Atlassian Confluence」といった広く利用される企業向けソフトウェア、その他FortinetやCisco Systems、F5 Networks、Palo Alto Networksなどのネットワークエッジデバイスに存在する脆弱性を悪用していることが分かった。

　VulnCheckの調査によると、Black Bastaのメンバーはこれらの企業がセキュリティアドバイザリーを公開するとすぐに脆弱性について議論を始めていたことが分かった。このことから、広く流通しているアプリケーションやデバイスに重大な脆弱性が発見された場合、迅速なパッチ適用や対策が重要であることが分かる。

　流出したチャットログにより、悪名高いランサムウェアグループBlack Bastaの内部事情も明らかになった。

　2025年2月24日の週に公開されたブログ記事で、VulnCheckのセキュリティ研究者であるパトリック・ギャリティ氏は、このグループが既知の脆弱性の中でも、特に利用可能なツールやプログラムが公開されているものを優先的に標的としていることを指摘した。

　ギャリティ氏は、新たな脆弱性を発見しようとする試みがある一方で、Black Bastaが主に既知の脆弱性を優先し、それに対応した既存のツールや概念実証プログラムを活用する傾向があることを明らかにした。

　チャットログでは、Microsoftの脆弱性が最も多く取り上げられていた。その中には、「Exchange Server」の「ProxyNotShell」に関連する脆弱性（注2）や、「Zerologon」として知られるWindowsの特権昇格バグ「CVE-2020-1472」（注3）が含まれていた。また、2024年春に悪用が大規模に確認されたPalo Alto Networksのオペレーティングシステム「PAN-OS」のゼロデイ脆弱性「CVE-2024-3400」（注4）（注5）も頻繁に言及されていたことが分かった。

　Black Bastaが注目していた脆弱性には、「CitrixBleed」として知られる重大な脆弱性「CVE-2023-4966」を持つ「Citrix NetScaler ADC」および「NetScaler Gateway」（注6）が含まれる。また、1年前に攻撃を受けたFortinetの「FortiOS」におけるゼロデイ脆弱性「CVE-2024-21762」（注7）や、2024年にBlack Bastaを含む複数のランサムウェアグループによって広範囲に悪用された「ConnectWise ScreenConnect」に関連する2つの重大な脆弱性「CVE-2024-1708」と「CVE-2024-1709」（注8）（注9）も挙げられている。

　ギャリティ氏は、チャットログで言及された脆弱性が、必ずしもBlack Bastaの攻撃で実際に使用されていたわけではないと指摘する。また、ブログでは、公表前にBlack Bastaの議論対象となっていた3つの脆弱性が特定された。それらは、FortiOSの脆弱性「CVE-2024-23113」（注10）、「Bricks Builder for WordPress」のテーマに関連する脆弱性「CVE-2024-25600」（注11）、そして「Exim Email」の脆弱性「CVE-2023-42115」（注12）だ。さらに、ギャリティ氏は「Cybersecurity Dive」に対し、これらの脆弱性がwww.cve.orgで正式に公表される前に、製品のセキュリティアドバイザリーで公表されていたことを明らかにした。

　ギャリティ氏は電子メールで、「脆弱性に識別番号を割り当てる機関は、製品のセキュリティアドバイザリーに記載された脆弱性を見落とすことがある。その結果、防御側がCVE.orgやNIST NVDの情報だけを頼りにすると、実際に悪用された脆弱性を特定するのが難しくなる」と述べた。

　チャットログから、Black Bastaのサイバー攻撃の戦略が明らかになった。ギャリティ氏によれば、このグループは収益性の高い企業を優先的に狙い、大量のターゲットを無作為に攻撃することはしない。議論の内容から、知名度の高い少数の企業を標的にする方が、価値の低い多数のターゲットを無差別に攻撃するよりも多くの利益を得られると考えていることが分かった。

　さらに、ギャリティ氏は、このランサムウェアグループが主に法律と金融、医療、産業の分野に属する企業を標的としていることを明らかにした。これらの企業は、身代金を支払う可能性が高いと考えられているようだ。また、場合によっては盗んだデータを競合他社や海外の組織に売却することについて議論していたケースもあったという。

出典：Leaked ransomware chat logs reveal Black Basta’s targeted CVEs（Cybersecurity Dive）
注1：Exposing CVEs from Black Bastas' Chats（VulnCheck）
注2：Microsoft investigating 2 zero-day vulnerabilities in Exchange Server（Cybersecurity Dive）
注3：CVE-2020-1472 Detail（NIST）
注4：CVE-2024-3400 Detail（NIST）
注5：Palo Alto Networks warns firewall exploits are spreading（Cybersecurity Dive）
注6：CVE-2023-4966 Detail（NIST）
注7：CVE-2024-21762 Detail（NIST）
注8：CVE-2024-1708 Detail（NIST）
注9：CVE-2024-1709 Detail（NIST）
注10：CVE-2024-23113 Detail（NIST）
注11：CVE-2024-25600 Detail（NIST）
注12：CVE-2023-42115 Detail（NIST）

原文へのリンク