BERTランサムウェアの検出：WindowsとLinuxを標的としたアジア・欧州・米国での攻撃

Verizon 2025年 データ侵害調査レポート（DBIR）によると、ランサムウェアは依然として支配的な脅威であり、侵害事例の44％で検出されています（前年は32％）。2024年には平均200万ドルの身代金が支払われており、経済的な利益がこの脅威の拡大を後押ししています。結果として、多くのサイバー犯罪者がランサムウェアを利用するようになり、WindowsおよびLinuxシステムを標的とするBERTのような新たで攻撃的な亜種が登場しています。確認された被害はアジア、ヨーロッパ、アメリカにわたり、医療、テクノロジー、イベントサービス業界が特に影響を受けています。

BERTランサムウェア攻撃の検出

Cybersecurity Venturesによれば、2031年までにランサムウェア攻撃は2秒ごとに発生すると予測されており、脅威に対するプロアクティブな検出と防御の必要性が急務となっています。現代のランサムウェアキャンペーンは常に進化しており、高度な回避技術と標的型攻撃を組み合わせ、従来のセキュリティ対策を回避します。中でも注目されるのがBERTで、これはグローバルに拡大するマルチプラットフォーム型の脅威であり、さまざまな業種の業務を中断させています。

SOC Primeプラットフォームに登録し、組織に対するBERT攻撃を早期に検出しましょう。本プラットフォームは、BERT攻撃の検出に特化したSigmaルールの専用セットを提供しています。以下の検出を表示ボタンをクリックすると、実用的な脅威インテリジェンスで強化されたこれらのルールや、高度な検出および脅威ハンティングのための製品群にアクセスできます。

検出を表示

SOC Primeプラットフォームのすべてのルールは、各種SIEM、EDR、データレイクソリューションと互換性があり、MITRE ATT&CK® フレームワークにマッピングされています。各ルールには詳細なメタデータ、脅威インテリジェンスの参照、攻撃タイムライン、トリアージ推奨などが含まれています。

また、ディフェンダーは「Ransomware」という一般タグを適用することで、より広範な検出ルールセットにアクセス可能です。

さらに、Uncoder AIを活用することで、脅威分析を迅速化できます。Uncoder AIは、脅威ベースの検出エンジニアリング向けのプライベートIDEかつコパイロットであり、生データから検出アルゴリズムを生成し、IOCを最適化されたクエリに変換、ATT&CKタグの予測、AIによるコード改善、複数のSIEM/EDR/Data Lake言語への変換を行います。たとえば、Trend MicroのBERTに関する調査を基に、ワンクリックでAttack Flowを生成可能です。

BERTランサムウェア攻撃の分析

セキュリティ研究者は、アジア、ヨーロッパ、米国の組織を標的とする新たなランサムウェアグループを特定しました。確認された被害は、医療、テクノロジー、イベントサービス業界に集中しています。BERTは、Trend MicroによってWater Pomberoとも呼ばれており、WindowsおよびLinuxに対応する亜種を展開し、シンプルなコードベースと効率的な実行を組み合わせています。

このグループは、PowerShellベースのローダー、特権昇格手法、同時ファイル暗号化を使用しており、簡素ながらも迅速かつ検出回避型の攻撃を実現しています。Linuxでは最大50スレッドを用いて暗号化を高速化し、ESXi仮想マシンをシャットダウンすることで復旧を妨害します。4月に初めて確認されて以降、アジアとヨーロッパで急速に活動を拡大し、キャンペーンは継続中です。

Windowsバージョンでは、特定の文字列を使用してプロセスを特定・終了します。研究者はPowerShellローダースクリプト start.ps1 を発見しており、これにより特権が昇格され、Windows Defender、ファイアウォール、UACが無効化され、その後 payload.exe がIP 185[.]100[.]157[.]74 からダウンロード・実行されます。初期アクセスベクトルは不明ですが、このスクリプトは -Verb RunAs を使用して管理者権限で実行されます。このIPは payload.exe および start.ps1 を含むオープンディレクトリをホスティングしており、ステージングインフラとみなされます。このIPはロシアに登録された ASN 39134 に関連しており、地域の攻撃者との関連性を示唆しています。

旧バージョンでは、暗号化前にドライブを列挙しパスを保存していましたが、最新のBERTでは ConcurrentQueue と DiskWorker を使用して、ファイルを即時に暗号化し、パフォーマンスと処理効率を向上させています。

2025年春に発見されたLinux版では、50スレッドを使用して暗号化を高速化します。パラメータなしで実行された場合、すべてのESXi仮想マシンが強制シャットダウンされます。暗号化されたファイルには .encrypted_by_bert 拡張子が付与され、身代金メモと連絡指示が残されます。

ランサムウェアの設定はJSON形式で埋め込まれており、公開鍵、Base64でエンコードされた身代金メモ、対象のファイル拡張子、および運用パラメータを含みます。BERTは、ESXiサーバーを標的とするLinux版REvilから派生した可能性があり、REvilやBabukベースのロッカーとのコードの類似性がこれを裏付けています。JSONベースの設定は現代のランサムウェアで一般的であり、キャンペーンごとの柔軟な適応を可能にします。

BERTは、シンプルなツールでも深刻な侵害を引き起こす可能性があることを示しています。新興の脅威アクターは、高度な手法を用いずとも、侵入から情報の搾取までの明確な攻撃チェーンがあれば成功可能です。推奨される対策には、PowerShellの監視、最小権限の原則、ESXiサーバーなどの重要資産の分離、start.ps1のようなスクリプトに対する特別な注意が含まれます。

総じて、企業はBERTや類似の脅威に対抗するために、階層的なセキュリティ戦略を採用すべきです。SOC Primeの製品スイートを活用すれば、AI、自動化、リアルタイム脅威インテリジェンスに支えられた体制で、巧妙なランサムウェア攻撃への防御を強化できます。

このグループはまだ特定のアクターに公式には帰属されていませんが、ロシアに登録されたインフラの使用は、同地域で活動する脅威グループとの関連を示している可能性があります。Microsoft Defender for Endpointを利用しているSOC Primeユーザーは、Bear Fenceの有効化を推奨します。これは、ロシアのAPTグループに関連する242のSigmaルールと、自動化された脅威ハンティング機能を備えた継続的なセキュリティサービスです。