大規模なブラックバスタの漏洩により、ランサムウェアの巨人の内部構造が明らかに

まれで驚くべき展開として、 Black Basta ランサムウェア ギャングの内部チャット ログの山がオンラインで流出し、現在活動している最も危険なサイバー犯罪組織の 1 つである Black Basta の舞台裏が前例のないほど明らかになりました。この漏洩は、別の悪名高いランサムウェア シンジケートの内部活動を暴露した、2022 年初頭の悪名高い Conti 漏洩とすでに比較されています。

2025年2月20日に公開されたこの最新の暴露は、ExploitWhispersとして知られる内部告発者によるもので、伝えられるところによると、Black Bastaのメンバーが交換した20万件以上のチャットメッセージを含む47MBのJSONファイルを公開したとのことです。チャットは2023年9月から2024年9月までの1年間の活動をカバーしており、現在、世界中のサイバーセキュリティ研究者によって綿密に分析されています。

ブラックバスタはなぜ暴露されたのか？

漏洩情報とともに共有されたメッセージによると、ブラックバスタがロシアの銀行を標的にすることを決めたことが、今回の暴露の動機となっている可能性がある。これは、ロシア語圏のサイバー犯罪の世界では、許されない過ちとみなされることが多い。これが正しければ、内部関係者がなぜこのような機密情報を漏洩しようと決めたのかが説明できる。

さらに、脅威情報会社 Prodaft は、Black Basta は 2025 年の初めから内部紛争のためほとんど活動していないと指摘している。舞台裏で混乱が広がる中、このリークはグループの将来についてさらに不確実性を高めている。

漏洩したチャットから明らかになったこと

このリークは、ブラックバスタの工作員たちの個性や日々の会話を垣間見るだけの興味深い情報ではない。それは、このギャングがどのように攻撃を実行し、標的を選択し、脆弱性を悪用するかについての青写真なのだ。

セキュリティ企業の VulnCheck と Qualys はすでに、ログに埋もれた技術的な詳細に焦点を当てた初期の調査結果を発表している。VulnCheck の分析によると、チャットでは 62 個の固有の CVE (Common Vulnerabilities and Exposures) が言及されており、そのうちのいくつかは公開されてから数日以内に議論され、いくつかは公式に公開される前に議論されていた。

さらに驚くべきことに、ログから、Black Basta が単に既知のエクスプロイトに頼っているだけではないことが分かります。このグループには新しいエクスプロイトを開発するリソースがあり、他の脅威アクターから独占的に脆弱性を購入することを検討しているという明確な証拠があります。

Qualys はさらに一歩進んで、防御側向けの優先リストを作成しました。これには以下が含まれます。

• すぐにパッチを適用する必要がある上位 20 の CVE。
• Black Basta によって頻繁に悪用される上位 10 個の誤った構成。
• 漏洩された情報で言及されたすべての脆弱性の完全な付録。

セキュリティ チームにとって、この漏洩は、ランサムウェア操作者にとってどの弱点が最も魅力的であるかを正確に理解し、それに応じて防御の優先順位を付ける貴重な機会となります。

ランサムウェア攻撃のケーススタディ

脆弱性以外にも、Kela や BushidoToken などの研究者は、このグループの作戦手順を分析しています。詳細な例の 1 つは、2023 年にブラジルの企業に対して行われた攻撃です。この攻撃は、情報窃盗マルウェアによって盗まれた認証情報から始まりました。わずか 2 日間で、Black Basta はネットワークを侵害し、機密データを盗み、ランサムウェアを展開しました。このグループの手法 (侵害された認証情報による初期アクセス、迅速な水平移動、データの流出、公衆への脅迫) は、サイバー脅迫に対する高度に洗練された産業規模のアプローチを示しています。

これらの洞察は、Black Basta が円滑に運営されているビジネスのように機能し、ZoomInfo などのツールを使用して被害者のプロファイリングを行い、身代金の額や圧力戦術を評価していることを裏付けています。

内部対立と良心の危機

漏洩によって明らかになった最も予想外の事実の 1 つは、攻撃者の人間的な側面です。2024 年の Ascension Health への攻撃中、チャット メッセージには、攻撃者の行動の結果が明らかになるにつれて、攻撃者グループ内で不安が高まっていることが示されています。

重篤な患者を含む患者に危害を加える可能性に直面し、メンバーは無料の復号ツールを提供し、盗まれたデータを削除するかどうかを議論した。「ティンカー」や「GG」などの重要人物のコメントは、病院の業務を停止させることは、人命が失われればサイバー犯罪からテロ容疑にエスカレートする可能性があるという強い認識を示している。

珍しいことに、Black Basta は無料の復号キーを提供しただけでなく、盗んだデータを削除したとされており、これは異例の自己保存の瞬間、あるいは道徳的な瞬間を示しているとも言える。

ブラックバスタは崩壊の危機に瀕しているのか？

こうした混乱を受けて、一部の専門家は、このグループがコンティと同じ道をたどっているのではないかと推測している。コンティは内部情報漏洩後に解散し、新しい名前で再浮上した。漏洩したコメントのいくつかは、ブラックバスタが法執行機関や一般市民からの圧力の高まりにより、すでに完全なブランド変更を検討していることを示唆している。

今のところはまだ憶測の域を出ないが、ブラックバスタが姿を消し、2025年に別の別名で再び現れるという考えは、日を追うごとに現実味を帯びてきている。

防衛側にとってこれが意味すること

この漏洩は単なるサイバー犯罪ドラマではなく、実用的な情報です。
セキュリティ チームにとって、Black Basta の漏洩は次のメリットをもたらします。

• 実際の悪用に基づいて脆弱性のパッチ適用を優先します。
• 攻撃のタイムラインと手法に関する洞察。
• ランサムウェアの状況の変化を示す可能性のある内部グループダイナミクスの理解。

組織は、漏洩で明らかになった CVE と構成ミスを今すぐ確認し、防御を強化し、警戒を怠らないようにする必要があります。Black Basta は内部で苦戦しているかもしれませんが、ランサムウェア全体は依然として持続的で進化し続ける脅威です。

最後に

Black Basta の漏洩は、サイバーセキュリティの防御者にとって、警告となると同時に戦略的な利点でもあります。この漏洩は、最も洗練されたランサムウェア集団でさえ、内部紛争、人的ミス、情報漏洩から逃れられないことを証明しています。

しかし、誤解しないでください。Black Basta が解散するか、ブランドを変更するか、あるいは継続するかに関係なく、これらのチャットで明らかにされた手法と脆弱性は、2025 年以降もランサムウェア攻撃の原動力となるでしょう。

今、最善の防御策は、認識、準備、そして迅速な行動です。