BlackHeart (MedusaLocker) ランサムウェア

ランサムウェアは、貴重なデータを暗号化し、解除のために多額の支払いを要求する、最も破壊的なサイバー脅威の 1 つです。最新のランサムウェアの系統の中で、MedusaLocker ファミリーの亜種である BlackHeart が危険な脅威として出現しました。この高度なランサムウェアは、ユーザーをファイルから締め出すだけでなく、盗んだデータを公開すると脅し、攻撃者の要求に応じるよう被害者に大きなプレッシャーをかけます。BlackHeart の動作方法と、このような攻撃を軽減するためのベスト プラクティスを理解することは、個人および企業のデータを保護する上で非常に重要です。

BlackHeartランサムウェアが被害者を暗号化して脅迫する方法

感染したシステムで実行されると、BlackHeart ランサムウェアは、さまざまなファイル タイプを対象に、強力な暗号化プロセスを開始します。暗号化された各ファイルには、「.blackheart138」拡張子が付加され、アクセスできなくなります。たとえば、「document.pdf」という名前のファイルは「document.pdf.blackheart138」になり、事実上、ユーザーはデータにアクセスできなくなります。

BlackHeart は、ファイルを暗号化すると同時に、「read_this_to_decrypt_files.html」というタイトルの身代金要求メッセージを送ります。このメッセージは、被害者の企業ネットワークが侵入され、重要なファイルが RSA および AES 暗号化を使用して暗号化されたことを知らせます。このメッセージでは、必要な復号ツールを持っているのは攻撃者だけであると主張し、サードパーティのソフトウェアを使用してファイルを変更したり復元しようとしたりしないよう被害者に警告しています。そうすると、永久的なデータ損失につながる可能性があります。

ブラックハートが使う二重の恐喝戦術

最近のランサムウェア攻撃の懸念すべき傾向は、二重の脅迫行為であり、BlackHeart はこのパターンに従っています。身代金要求書には、企業の機密データが盗み出されており、被害者が要求に応じない場合は売却またはオンラインで公開されると警告されています。この追加の強制層により、被害者へのプレッシャーが増します。機密データが漏洩した場合、金銭的損失だけでなく、評判の失墜や法的影響の可能性にも直面するからです。

身代金の支払いを交渉するために、攻撃者は連絡先の詳細を提供します。これには、2 つの電子メール アドレス (support1@contonta.com と support2@cavopo.com) と Tor ベースのチャット サービスへのリンクが含まれます。さらに、被害者が 72 時間以内に連絡を取らない場合は、身代金の額が増額されると述べています。この戦術は、緊急性とパニックを作り出し、被害者が状況を完全に判断する前に迅速に行動するよう促すことを目的としています。

身代金を支払うことがなぜ危険なのか

暗号化されたファイルを復元できる可能性に惹かれて、被害者は身代金要求に応じるかもしれませんが、そうすることには大きなリスクが伴います。サイバー犯罪者には約束を守る義務はなく、多くの被害者は、欠陥のある、あるいは存在しない復号ツールを受け取るためにお金を払っただけです。さらに、ランサムウェアの運営者にお金を送ることは、彼らの違法行為の資金となり、個人や企業に対するさらなる攻撃を助長することになります。

攻撃者と関わらず失われたデータを復元する唯一の確実な方法は、安全な既存のバックアップを使用することです。ただし、バックアップが感染したデバイスと同じネットワークに保存されている場合、それらも暗号化または削除される可能性があるため、予防的なセキュリティ対策が不可欠です。

BlackHeartランサムウェアの拡散方法

他のランサムウェアの亜種と同様に、BlackHeart は複数の攻撃ベクトルを利用してデバイスに侵入します。サイバー犯罪者は、悪意のある添付ファイルやリンクを正当なビジネス通信に偽装し、フィッシング キャンペーンを通じてランサムウェアを配布することがよくあります。疑いを持たないユーザーが感染した電子メールの添付ファイルを開いたり、侵害されたリンクをクリックしたりすると、知らないうちにシステム上でランサムウェアが実行される可能性があります。

その他の標準的な感染方法には、パッチ未適用のソフトウェアの脆弱性を悪用すること、侵害された Web サイト経由でランサムウェアを配布すること、ソフトウェア クラックや海賊版アプリケーションに悪質なペイロードを隠すことなどがあります。攻撃者の中には、クリックするとマルウェア感染につながる不正なオンライン広告であるマルバタイジングを使用する人もいます。企業環境では、ランサムウェアはネットワーク全体に横方向に広がり、複数のデバイスに感染して攻撃の影響を拡大する可能性があります。

ランサムウェアから身を守るためのベストセキュリティプラクティス

BlackHeart ランサムウェアや同様の脅威のリスクを軽減するには、ユーザーと組織が強力なサイバーセキュリティ対策を採用する必要があります。次のベスト プラクティスを実装すると、セキュリティが強化され、攻撃の被害に遭う可能性を最小限に抑えることができます。

• 定期的なバックアップを維持する: 重要なデータを、オフライン バックアップや強力な暗号化を備えたクラウド ストレージなど、複数の安全な場所に保存します。バックアップが定期的に更新され、整合性がテストされていることを確認します。
• 多要素認証 (MFA) を有効にする: この機能は、複数の検証手順を要求することでオンライン アカウントとシステム アクセスを保護し、不正なログインを困難にします。
• ソフトウェアとオペレーティング システムをアップグレードしたままにする: すべてのアプリケーション、オペレーティング システム、セキュリティ ソフトウェアを定期的に更新して、ランサムウェア攻撃者が悪用する可能性のある脆弱性を修正します。
• 電子メールの添付ファイルとリンクには注意してください: 予期しない電子メール、特に即時の対応を促す電子メールは開かないようにしてください。ダウンロードする前に、送信者の身元を確認し、添付ファイルに潜在的な脅威がないかスキャンしてください。
• 管理者権限を制限する: 重要なシステムへのユーザー アクセスを制限し、不必要な管理者権限を無効にして、侵害が発生した場合の攻撃対象領域を減らします。

最後に

BlackHeart ランサムウェアは、ファイル暗号化とデータ流出を組み合わせて被害者への圧力を最大化する、現代のサイバー脅威の高度化の典型です。身代金を支払ってもデータの回復は保証されず、さらなる犯罪行為を助長するだけです。代わりに、ユーザーはシステムのセキュリティを確保し、信頼性の高いバックアップを維持し、フィッシング攻撃や悪意のあるソフトウェアに警戒を怠らないようにすることで、予防を優先する必要があります。サイバーセキュリティへの積極的なアプローチは、ランサムウェアやその他の進化するデジタル脅威に対する最も効果的な防御策です。

BlackHeart (MedusaLocker) ランサムウェアビデオ

ヒント：サウンドをオンにして、フルスクリーンモードでビデオを視聴します。