BQTLOCKランサムウェア検出：新たなRaaSオペレーターが高度な検出回避技術を採用

Ransomware-as-a-Service (RaaS) は、ダークウェブフォーラムや Telegram などの人気メッセージングプラットフォームで宣伝される拡大中のサイバー犯罪モデルであり、開発者がランサムウェアとインフラをアフィリエイトにサブスクリプションまたは収益分配モデルで提供します。新たに発見されたランサムウェア「BQTLOCK」は 2025 年夏中盤以降活動しており、完全な RaaS モデルで配布され、複数のアンチ解析技術を駆使して検知やフォレンジック調査を妨害しています。

BQTLOCK ランサムウェア攻撃の検知

ランサムウェア はその巧妙さと影響力を増し続け、新種や改変版が次々と出現しています。代表例として比較的新しい Crypto24 ランサムウェアグループ があり、米国・欧州・アジアの大規模組織を標的にしています。

Verizon の 2025 DBIR によると、ランサムウェアは侵害の 44% に関与しており、前年の 32% から増加しました。その主因は RaaS であり、攻撃者はプログラミングスキルなしでストリーミングサービスのようにランサムウェアを利用可能です。新たに登場した BQTLOCK は RaaS として運用され、高度な回避手法を用いるため、組織は積極的な防御体制を強化する必要があります。

SOC Prime Platform に登録 し、組織のセキュリティ体制を将来にわたって強化しましょう。このプラットフォームは、AI ネイティブな脅威インテリジェンスと検知アルゴリズムを提供し、AI 主導の検知エンジニアリング、自動化された脅威ハンティング、先進的な攻撃検知を可能にする完全な製品スイートで支援します。Explore Detections をクリックして、BQTLOCK 関連の検知ルールを確認してください。

Explore Detections

すべての検知ルールは多様な SIEM、EDR、Data Lake ソリューションで利用可能であり、MITRE ATT&CK® にマッピングされています。各ルールには CTI リンク、攻撃タイムライン、トリアージ推奨などのメタデータが付与されています。

セキュリティエンジニアは、対応する “Ransomware” タグを利用することで、世界的なランサムウェア攻撃を対象とした検知ルール群にもアクセスできます。

さらに、最新リリースで強化された Uncoder AI を活用可能です。AI チャットボットと MCP ツールを備え、エンドツーエンドの脅威検知タスクを AI が共同で支援します。たとえば、Uncoder AI を使えば K7 Security Labs の研究に基づき Attack Flow を即座に可視化したり、IOC を検索することができます。

BQTLOCK ランサムウェア分析

新たに出現した BQTLOCK ランサムウェアは RaaS モデルで運用されており、パレスチナ系ハクティビストグループ Liwaa Mohammed のリーダーとされる ZerodayX に関連付けられ、サウジゲームデータ侵害との関連も指摘されています。2025 年 7 月中旬以降、BQTLOCK は高度なアンチ解析技術を取り入れた新しい亜種へと進化しました。

K7 Security Labs の最新詳細分析によると、BQTLOCK は Starter、Professional、Enterprise の階層型 RaaS サブスクリプションを採用し、身代金メモ編集、壁紙変更、ファイル拡張子設定、文字列難読化、デバッガ検出、仮想マシン回避などカスタマイズ可能な機能を提供しています。

ZIP アーカイブに含まれる Update.exe 実行ファイルにより配布され、このランサムウェアはローカルファイルを暗号化し、.bqtlock 拡張子を付与、身代金メモを作成します。また、Discord Webhooks を介して機微情報を C2 に送信します。実行時にはホスト名、IP、ハードウェア情報、ディスク容量を収集し、永続化を確立した上で暗号化を開始します。

すべての取引は Monero (XMR) で行われます。被害者は 48 時間以内に Telegram または X 経由で連絡するよう要求され、最大 40 XMR（約 1 万ドル）を支払わなければなりません。従わなければ要求額は倍増し、7 日後には復号キーが破棄され、盗まれたデータは公開または販売されます。

ZerodayX は BQTLOCK を FUD（Fully Undetectable）ランサムウェアとして宣伝していますが、配布サンプルは破損した ISO ファイルであり、VirusTotal への提出もレバノンから 1 回のみで、開発者本人または関係者によるものと推測されます。このことから、FUD 主張の信憑性には疑問が残り、誇張または誤解を招く宣伝の可能性が高いと考えられます。

BQTLOCK は SeDebugPrivilege を有効化し、explorer.exe に対するプロセスホローイングを利用して悪意あるコードを正規プロセスに注入します。永続化のためにスケジュールタスクを作成し、バックドア管理者アカウントを追加します。最新版では CMSTP.exe、fodhelper.exe、eventvwr.exe を悪用した UAC バイパスが導入され、ユーザー確認なしで権限昇格が可能になります。

BQTLOCK の開発者は 4 回の迅速なリリース後にバージョン 4 を最終版と発表しましたが、本当に終了かリブランドかは疑問視されています。Telegram チャンネルのブロック後、3 日間の無料利用を提供し、新しい盗難データ検索ツール BAQIYAT.osint を公開しました。さらに、2025 年 8 月 5 日に発見された最新亜種では Chrome、Firefox、Edge、Opera、Brave など主要ブラウザを狙う高度な認証情報窃取機能が追加され、被害リスクが一層高まっています。

進化する RaaS オペレーターと高度な攻撃手法を背景に、ランサムウェア対策には防御側の迅速な対応が不可欠です。SOC Prime は AI、オートメーション、リアルタイム脅威インテリジェンスで支えられた完全な製品スイート を提供し、組織が防御能力を強化できるよう支援します。