サイバーニュース.jp

世界のサイバーなニュースを配信

BQTLOCKランサムウェアがTelegram経由でWindowsユーザーを攻撃、ファイルを暗号化しバックアップを削除

カテゴリ:

, , , , , , , , ,

はじめに

セキュリティ研究者たちは、Windowsユーザーを標的とする新たなRansomware-as-a-Service(RaaS)であるBQTLOCKランサムウェアの活動を明らかにしました。このランサムウェアは、Telegramチャネルやダークウェブフォーラムを通じて配布されており、2025年7月中旬から活発に攻撃を行っています。

攻撃者は、悪意のある実行ファイルを含むZIPアーカイブを配布し、感染したシステム上のファイルを暗号化し、バックアップを削除することで復旧を困難にしています。

攻撃の手口と技術的詳細

BQTLOCKランサムウェアは、実行されると「Update.exe」というファイル名で動作し、Windowsシステムディレクトリを除くファイルシステムを走査します。そして、50MB未満のファイルをAES-256で暗号化し、そのAESキーと初期化ベクトルをRSA-4096で保護します。暗号化されたファイルには「.bqtlock」というカスタム拡張子が追加されます。

アンチ分析機能

  • 文字列の難読化
  • デバッガーチェック(IsDebuggerPresent、CheckRemoteDebuggerPresent)
  • 仮想マシン回避のためのスタブ

これらの機能により、マルウェアは検出を回避しようとします。

身代金要求

被害者には身代金要求メモが残され、48時間以内にMoneroで13〜40 XMR(約3,600ドル〜10,000ドル)の支払いを要求します。期限内に連絡がない場合、身代金は倍増し、7日後には復号キーが永久に削除され、盗んだデータの公開が脅されます。

システムへの侵入と永続化

BQTLOCKは、実行後に偵察と権限昇格の段階を踏みます。

  • 情報収集とデータ流出: ホスト名、ユーザー名、ハードウェアID、icanhazip.com経由での公開IPアドレスなどのシステム情報を収集し、DiscordのWebhookを通じて外部に流出させます。
  • 権限昇格とUACバイパス: SeDebugPrivilegeを有効にしようとし、CMSTP、fodhelper.exe、eventvwr.exeなどのUACバイパス技術を使用して、ユーザーの操作なしに昇格された権限を獲得します。
  • プロセスインジェクション: 検出を避けるため、プロセスホローイングを介してexplorer.exeにコードを注入します。
  • セキュリティ対策の無効化: CreateToolhelp32Snapshotを使用して実行中のプロセスを列挙し、アンチウイルスおよびバックアップサービスを強制的に終了させます。
  • 永続化メカニズム: 「Microsoft\Windows\Maintenance\SystemHealthCheck」という名前でスケジュールされたタスクを登録し、カスタムの壁紙を設定し、HKEY_CLASSES_ROOT下のレジストリキーを更新してファイルアイコンを変更することで、長期的な永続性を確保します。

RaaSとしての提供と進化

BQTLOCK RaaSは、Starter、Professional、Enterpriseの3つのサブスクリプションティアを提供しており、アフィリエイトはコーディング経験なしに、身代金要求メモの詳細、壁紙画像、アイコン、ファイル拡張子、オプションのアンチ分析機能などを設定できます。

2025年8月にリリースされたバージョン4のビルダーでは、OutputDebugStringとGetTickCountを使用した新しいアンチデバッグチェック、強化されたコード難読化、UACバイパス方法、そしてChrome、Firefox、Edge、Opera、Braveなどのブラウザから保存されたパスワードを標的とするクレデンシャル窃取モジュールが追加されました。この亜種は、WMIクエリを悪用してハードウェア情報を収集し、自己削除用のバッチスクリプトをドロップし、イベントログをクリアし、横方向の移動のために%TEMP%ディレクトリに自己コピーします。

グループのリーダーとされるZeroDayXは、BQTLOCKがアンチウイルスベンダーによって完全に検出不可能であると主張していますが、分析では破損したISOサンプルとVirusTotalへの限られた提出しか確認されておらず、これらの主張は誤解を招くものであることが示唆されています。

攻撃者の狡猾な戦略

BQTLOCKは、NetUserAdd APIを通じて「BQTLockAdmin」という新しいローカル管理者アカウントを「Password123!」というパスワードで作成し、永続的な管理者アクセスを確立しようとします。

攻撃者は、元のTelegramチャネルがブロックされた後も、新しいチャネルを開設し、新規アフィリエイトを誘致するために3日間無料アクセスを提供しました。さらに、盗まれたデータを検索するための有料プラットフォーム「BAQIYAT.osint」も立ち上げています。

対策

ランサムウェア攻撃が増加する中、組織や個人は以下の対策を講じる必要があります。

  • 最新のアンチウイルス防御を維持する。
  • 堅牢なバックアップ戦略(できればオフラインまたは不変なもの)を採用する。
  • 疑わしいスケジュールされたタスクや新しい管理者アカウントを監視する。
  • K7 Total Securityのようなソリューションは、BQTLOCKのような新たな脅威に対する追加の保護層を提供できます。

元記事: https://gbhackers.com/

投稿をさらに読み込む