ランサムウェア 攻撃 グループ BianLianはロシアに拠点を置き、ランサムウェア攻撃から恐喝に移行していると発表
CISAのレポートによると、ランサムウェア 攻撃グループ BianLianが2024年1月以降は主にデータ流出を伴う恐喝に移行したことや侵入戦術などを公表しています。
目次
ランサムウェア 攻撃グループ BianLianとは
BianLianは、ランサムウェアを開発・配布するサイバー犯罪グループです。このグループは2022年以降、米国およびオーストラリアの重要インフラや民間企業を標的としています。当初は「二重恐喝モデル」(データの暗号化と公開の脅迫)を使用していましたが、2024年1月以降は主にデータ流出を伴う恐喝に移行しました。
ロシアに拠点を設置
今まで具体的な拠点は明言されていませんでしたが、レポートでは明確に、複数のロシアに拠点を設置し、関連のグループを所有しているとされています。
戦術の変化
BianLianは初期は二重恐喝モデルを採用していましたが、Avastが複合化ツールを提供して以降徐々に暗号化を放棄し、データ窃取に移行しています。
初期の「二重恐喝モデル」
BianLianは、活動初期に「二重恐喝モデル」を採用していました。このモデルは次の2段階で構成されます:
- データの暗号化:被害者のシステム内のデータを暗号化し、アクセス不能にします。
- データ流出の脅迫:データのコピーを外部に保存し、暗号化解除のための金銭要求に加え、データを公開しないための金銭を要求します。
二重恐喝モデルの特徴
- 技術的な重点:
- 暗号化ツール(encryptor.exe)を使用し、被害者のシステム全体にわたりデータを暗号化。
- 被害者にランサムノートを表示し、解読のための指示を提供。
- 心理的な圧力:
- 被害者にデータ公開のリスクを認識させることで、支払いを促進。
- 顧客や取引先へのデータ公開を暗示する脅迫文を使用。
2023年以降の「データ流出特化モデル」
2023年頃から、BianLianは「データ流出特化モデル」へとシフトし始めました。このモデルでは、暗号化を行わず、被害者のデータを窃取することに重点を置きます。
手法の変化の背景
- データ暗号化の弱点:
- 暗号化に対する対策が普及し、被害者がバックアップや復元を活用して迅速に復旧できるケースが増加。
- 暗号化によるシステム混乱が軽減され、ランサム支払いの可能性が低下。
- データ流出の効果:
- データ窃取は復元では解決できないため、被害者の交渉の余地を削減。
- 流出データの公開がもたらす法的・ reputational な影響が企業に大きなダメージを与える。
新たな手法の特徴
- 暗号化を廃止:2024年1月以降、BianLianは完全に暗号化を廃止し、データ流出を中心とした恐喝モデルに移行しました。
- データ収集の高度化:
- ネットワークスキャナ(例:SoftPerfect Network Scanner)を使用してネットワーク全体を調査。
- RcloneやMegaなどのツールを利用し、大量のデータを迅速に流出。
心理的な圧力戦術
- 被害者に対し、流出データが「競合企業」「顧客」「報道機関」に送付されると警告。
- 新たにランサムノートを印刷機に送信する手法や、被害者の従業員に直接電話をかけるなど、圧力を強化。
悪用する脆弱性
BianLianはWindows と ESXi インフラの両方の公開アプリケーションを標的にしていることが確認されており、一般的なProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207) を悪用して初期アクセスを獲得している可能性があります。
当局はまた、BianLianの攻撃者がWindows 10および11に影響を及ぼすCVE-2022-37969などの脆弱性を悪用しているのを確認したとしています。