BARADAI ランサムウェア

現代のランサムウェア攻撃はますます高度化しており、積極的なサイバーセキュリティ対策の重要性がこれまで以上に高まっています。組織も個人ユーザーも、機密データの暗号化、業務の妨害、金銭の恐喝を企む悪意のある攻撃者による絶え間ないリスクに直面しています。特に危険な例の一つが、悪名高いMedusaLockerランサムウェアファミリーに属するマルウェアであるBARADAIランサムウェアです。この脅威は高度な暗号化とデータ窃盗の手法を組み合わせ、被害を受けた組織に業務、財務、そして評判の面で深刻な影響をもたらします。

BARADAIランサムウェア作戦の内幕

BARADAIは、システムに侵入し、重要なファイルを暗号化し、被害者に身代金の支払いを強要するように設計されています。感染したマシン上で実行されると、ランサムウェアはファイルの暗号化を開始し、影響を受けたファイル名に「.BARADAI」という拡張子を追加します。たとえば、「document.pdf」という名前のファイルは「document.pdf.BARADAI」となり、適切な復号鍵を持たないユーザーはアクセスできなくなります。

暗号化処理が完了すると、マルウェアは「read_to_decrypt_files.html」という名前のHTML形式の身代金要求メッセージを生成します。このメッセージは、被害者の企業ネットワークがRSA-4096およびAES-256暗号化アルゴリズムを使用して「侵害され、暗号化された」と通知します。これらの暗号化規格は非常に安全性が高く、総当たり攻撃で解読することは事実上不可能と考えられています。

身代金要求のメッセージには、サードパーティ製の復旧ソフトウェアを使用したり、暗号化されたファイルを変更したりしないよう被害者に警告する文言も含まれており、そのような行為はデータを永久的に破損させる可能性があると主張している。これらの警告は主に被害者を脅すためのものだが、ランサムウェア攻撃によっては、不適切な復旧操作によって復旧作業が複雑化するケースもある。

二重の恐喝戦術で圧力を強める

BARADAIは、現代の多くのランサムウェアグループが採用する、ますます一般的になっている「二重脅迫」戦略を踏襲している。攻撃者は、ファイルを暗号化するだけでなく、ランサムウェアのペイロードを展開する前に、侵害したネットワークから機密情報を盗み出すと主張している。身代金要求のメッセージによると、盗まれたデータには、機密性の高いビジネス文書、財務記録、個人情報などが含まれる可能性がある。

被害者は、支払い要求を無視した場合、メディアやデータブローカーを通じてこの情報を公表すると脅迫される。この戦術は、特に機密性の高い顧客情報、規制対象データ、または独自の知的財産を扱う組織にとって、大きなプレッシャーとなる。

攻撃者は、信頼性を高めるため、重要度の低いファイルをいくつか無料で復号化すると申し出ている。これは、身代金を支払えば技術的に復号化が可能であることを証明するためのものだ。メモに記載されている連絡手段には、メールアドレス、Torベースのポータル、qToxメッセージングIDなどがある。被害者には、安全な通信手段としてProtonMailの使用も推奨されており、72時間の期限を設けることで、期限を過ぎると身代金の要求額が上がると警告し、緊急性を高めようとしている。

バラダイが特に危険な理由

BARADAIは、MedusaLockerランサムウェアファミリーに属しているため、重大な脅威となります。このグループは、一般の家庭ユーザーではなく、企業やエンタープライズ環境を標的とすることで知られています。これらの攻撃は、攻撃者が企業ネットワークへの深いアクセス権を取得した後、綿密に計画され実行されることがよくあります。

このランサムウェアは、侵害されたリモートデスクトッププロトコル（RDP）サービスを介して拡散するのが一般的です。攻撃者は、脆弱な認証情報や使い回しの認証情報で保護されているインターネットに接続されたRDPエンドポイントを探し出し、ブルートフォース攻撃を用いて不正アクセスを試みます。侵入後、ネットワーク内を横断的に移動し、他のシステムを侵害し、防御システムを無効化し、複数のマシンに同時にランサムウェアを展開します。

フィッシング攻撃も依然として主要な感染経路となっています。従業員は、請求書、報告書、または業務連絡文書を装った悪意のある添付ファイルを、知らず知らずのうちに開いてしまう可能性があります。これらのファイルには、悪意のあるマクロ、埋め込みスクリプト、またはマルウェアのダウンロードにつながるリンクが含まれていることがよくあります。ZIPファイルやRARファイルなどの圧縮アーカイブは、基本的なメールフィルタリング保護を回避するために頻繁に使用されます。

その他の感染経路としては、トロイの木馬型マルウェア、海賊版ソフトウェア、不正なアクティベーションツール、偽のソフトウェアアップデート、信頼できないダウンロードプラットフォームなどが挙げられます。ネットワークのセグメンテーションが不十分な場合、感染したエンドポイントが1つあるだけで、組織全体に急速に感染が拡大する可能性があります。

暗号化と復旧における課題

攻撃者の協力なしにBARADAIによって暗号化されたファイルを復元することは、一般的に非現実的です。このランサムウェアは強力な暗号化メカニズムを使用しており、攻撃者が管理する秘密復号鍵にアクセスしない限り、事実上回避することはできません。マルウェア自体に重大な実装上の欠陥がない限り、無償での復号オプションは期待できません。

サイバーセキュリティ専門家は、身代金の支払いを強く推奨していません。攻撃者は、身代金を受け取った後でも、有効な復号ツールを提供しないことがしばしばあります。場合によっては、被害者が恐喝要求に応じる組織だと攻撃者に認識され、繰り返し標的にされることもあります。

感染したシステムからランサムウェアを除去することは、さらなる暗号化活動を防ぐために不可欠ですが、マルウェアの除去だけでは既にロックされたファイルを復元することはできません。最も確実な復旧戦略は、オフラインで保存された、またはメインネットワークから隔離された適切に保護されたリモートインフラストラクチャに保存されたクリーンなバックアップを使用することです。

バラダイおよび類似の脅威に対する防御の強化

組織は、多層的なセキュリティ対策を導入し、規律あるサイバーセキュリティ対策を維持することで、ランサムウェア攻撃のリスクを大幅に軽減できます。効果的な防御には、技術的な安全対策と従業員の意識向上の両方が必要です。

主な保護対策は以下のとおりです。

• 特にRDPやその他のリモートアクセスサービスにおいては、強力なパスワードポリシーと多要素認証を徹底する。
• 可能な限り、公開されているRDPアクセスを制限または無効化する。
• 本番システムから隔離された、定期的なオフラインおよびクラウドベースのバックアップを維持する。
• オペレーティングシステム、アプリケーション、ネットワーク機器にセキュリティパッチを速やかに適用する。
• 不審な動作を検知できる、信頼できるエンドポイント保護およびネットワーク監視ソリューションを使用する。
• 侵害発生時の横方向の移動を制限するために、ネットワークを分割する。
• 従業員に対し、フィッシングメール、悪意のある添付ファイル、ソーシャルエンジニアリングの手法を認識できるよう研修を行う。

これらの対策に加え、組織は積極的なインシデント対応戦略を採用すべきです。継続的な監視、脅威ハンティング、脆弱性評価、侵入テストは、攻撃者が悪用する前に弱点を特定するのに役立ちます。インシデント対応計画を策定し、訓練を行うことで、セキュリティチームはランサムウェア攻撃発生時に効果的に対応し、業務の中断やデータ損失を最小限に抑えることができます。

増大する脅威の状況

BARADAIは、ランサムウェア攻撃が組織化され、甚大な被害をもたらすサイバー犯罪組織へと進化してきた様子を明らかにしています。攻撃者は、強力な暗号化、データ窃盗、心理的圧力、そして複数の感染経路を組み合わせることで、金銭的利益を最大化すると同時に、被害者に深刻な損害を与えています。

ランサムウェア攻撃グループが戦術を巧妙化させ続ける中、あらゆる規模の組織にとって、強固なサイバーセキュリティ対策の維持が不可欠となっています。予防的なセキュリティ対策、従業員教育、信頼性の高いバックアップ、そして迅速なインシデント対応能力は、BARADAIや、より広範なMedusaLockerランサムウェアのエコシステムといった脅威に対する最も強力な防御策であり続けています。