Beastランサムウェアの脅威
「Beast」として知られる高度なランサムウェアが、サイバーセキュリティ上の重大な脅威として浮上しています。このランサムウェアは、Server Message Block (SMB) ポートスキャンを利用して企業環境全体にシステムを侵入・暗号化するという、攻撃的なネットワーク伝播戦術を採用しています。
Monsterランサムウェアの系統から進化したこの脅威グループは、2025年7月の正式ローンチ以来、世界中の組織を積極的に標的にしており、米国、ヨーロッパ、アジア、ラテンアメリカにわたる16件の被害が公に報告されています。
RaaSモデルと被害状況
Beastランサムウェアは、Ransomware-as-a-Service (RaaS) プラットフォームとして機能し、複数の脅威アクターパートナーが同じインフラストラクチャの下で独立したキャンペーンを実施することを可能にしています。このグループは2025年2月に初めて出現しましたが、2025年半ばにTorベースのデータ漏洩サイトを設立し、盗んだ被害者データを公開して身代金支払いを強要することで悪名を高めました。
被害を受けた組織は、製造業、建設業、医療、ビジネスサービス、教育など多様な分野にわたっており、これらの攻撃が無差別であることを示しています。各被害者には固有の交渉用メールアドレスが提供され、異なるアフィリエイトパートナーがデータ流出と恐喝の操作を独立して実行していることが確認されています。
SMBポートスキャンによる横方向の移動
Beastランサムウェアが採用する主要な配布メカニズムは、従来のランサムウェアファミリーとは一線を画しています。侵害されたネットワーク内で初期アクセスが確立されると、マルウェアは直ちに内部インフラストラクチャ全体でアクティブなSMBポートのスキャンを開始します。この積極的な偵察により、ランサムウェアは横方向の移動に悪用できる共有フォルダーやネットワークリソースを特定します。
SMBプロトコルの脆弱性や設定ミスを標的にすることで、Beastランサムウェアは企業ネットワーク全体に急速に伝播し、複数のシステム上のファイルを同時に暗号化し、業務の中断を最大限に引き起こします。
初期侵害と技術的特徴
初期侵害は通常、著作権侵害通知や採用関連の通信を装った高度なフィッシングキャンペーンを通じて発生し、不正な履歴書が含まれています。これらの悪意のあるメールは、しばしばVidar Infostealerをセカンダリペイロードとして配信し、脅威アクターがランサムウェアコンポーネントを展開する前に資格情報やシステム情報を収集できるようにします。
Beastランサムウェアは、検出を回避し、回復を阻止するために高度な技術的機能を組み込んでいます。マルウェアは、システムロケール情報に基づいて潜在的なターゲットをフィルタリングするジオフェンシングロジックを実装しており、旧ソ連加盟国およびアルメニア、アゼルバイジャン、ベラルーシ、ジョージア、カザフスタン、キルギス、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウクライナ、ウズベキスタンを含む独立国家共同体(CIS)地域を意図的に除外しています。この除外パターンは、脅威アクターがこれらの地理的地域から活動しているか、または関連があることを示唆しています。
暗号化プロセスにはChaCha20アルゴリズムが使用され、ランサムウェアは初期化中に.dataセクションから設定データを復号します。暗号化されたファイルは、元のファイル名、SHA-512ハッシュによって生成された18バイトの識別子、およびカスタム拡張子を含む独特の命名規則を受け取ります。マルウェアは、各暗号化ファイルに0xA0バイトのメタデータを挿入し、暗号化キーと復号パラメータを含んでいますが、これらは脅威アクターのみがアクセスできます。
暗号化の成功率を最大化するために、Beastランサムウェアはデータベース、バックアップソリューション、アンチウイルス製品、生産性アプリケーションに関連する重要なプロセスとサービスを終了させます。また、WMIクエリを使用してWindows Shadow Copyボリュームを削除し、ネイティブのシステム回復オプションを効果的に排除し、被害者に身代金支払いまたはオフラインバックアップからの復元を検討させます。
Beastランサムウェアは、デバッグモードでGUIウィンドウをアクティブにすることができます。このウィンドウには、[Ctrl+Alt+666]ショートカットを使用してアクセスできます。
検出と予防の重要性
セキュリティ研究者は、Beastランサムウェアの堅牢な暗号化実装により、脅威アクターの秘密鍵なしでの復号は事実上不可能であると強調しています。暗号化されたファイルには、ファイルの最後に8バイトのMagic値があります。このMagic値は、ファイルが暗号化のために選択されたときに、ファイルの末尾データと比較することで、ファイルがすでに暗号化されているかどうかを判断するために使用されます。
組織は、包括的な脆弱性評価、横方向の移動機会を制限するネットワークセグメンテーション戦略、オフラインストレージを備えた強化されたバックアップシステム、外部アクセス制御、および継続的なセキュリティ監視を含む予防措置を優先する必要があります。キーボードショートカットCtrl+Alt+666を使用して隠されたGUIインターフェースをアクティブにするランサムウェアの能力は、この脅威の背後にある洗練された開発を示しており、オペレーターが暗号化パラメータを手動で制御し、キャンペーンの進行状況をリアルタイムで監視できるようにしています。
Beastランサムウェアが戦術を進化させ、被害者層を拡大し続ける中、この執拗な脅威から防御するためには、早期検出能力と迅速なインシデント対応プロトコルの確立が組織にとって不可欠となっています。