Black Basta、ランサムウェアにBYOVD技術を直接統合
最近のBlack Bastaランサムウェアグループのキャンペーンで、攻撃戦術の重大な変化が明らかになりました。従来のランサムウェア攻撃では、攻撃者がセキュリティソフトウェアを無効にするために別のツールを展開するのが一般的でしたが、今回のキャンペーンでは、ランサムウェアのペイロードに「Bring-Your-Own-Vulnerable-Driver」(BYOVD)コンポーネントが直接組み込まれています。
脆弱なドライバー「NsecSoft NSecKrnl」の悪用
この攻撃で利用されているのは、脆弱なドライバー「NsecSoft NSecKrnl」です。このドライバーは、CVE-2025-68947として特定された重大な脆弱性を抱えています。この欠陥は、ユーザーが適切な権限を持っているかを確認せずにコマンドを実行することを可能にします。これにより、ランサムウェアはドライバーに「Input/Output Control」リクエストを発行し、通常はオペレーティングシステムによって保護されている高レベルのプロセスを強制的に終了させることができます。
実行されると、ランサムウェアはSophos、Symantec、CrowdStrike、Microsoft Defender (MsMpEng.exe)など、大量のセキュリティプロセスを標的にします。システムの防御機能を無効化した後、ペイロードはファイルを暗号化し、「.locked」という拡張子を付与します。
「Cardinal」グループの活動再開と背景
この活動は、Black Bastaの背後にいる脅威グループ「Cardinal」に起因するとされています。防御回避機能をランサムウェアに直接埋め込むことは稀であり、過去にはRyukランサムウェア(2020年)と小規模なObscura(2025年)でのみ確認されていました。Cardinalは、2023年8月にテイクダウンされる前のQakbotボットネットとの強い関連性も指摘されています。
この新たな戦術は、Cardinalの活動再開を示唆しています。グループは2025年2月に内部チャットログが大規模に漏洩し、その活動が露呈し、ウクライナでの警察による摘発や、リーダーとされるOleg Evgenievich Nefedovの特定につながって以来、沈静化していました。法執行機関の圧力にもかかわらず、この技術革新はグループが依然として進化していることを示しています。この情報漏洩を行った「ExploitWhispers」というオンラインハンドルを持つ人物は、Black Bastaがロシアの銀行を標的にしたためリークしたと述べています。
防御側への影響と今後の展望
BYOVD攻撃は、その有効性と、正規の署名済みファイルに依存しているため、危険信号が上がりにくいという点で攻撃者にとって人気があります。回避ツールとランサムウェアを単一ファイルに組み合わせることは、攻撃者にとって2つの主要な利点を提供します。
- ステルス性: 犠牲者のネットワークにドロップするファイルが少ないため、「静か」です。
- 速度: セキュリティを無効にしてからファイルを暗号化するまでの間隔がなくなり、防御側がドライバーを検知しても反応する時間がほとんどありません。
研究者たちは、ランサムウェアの展開の数週間前から疑わしい活動を観測しており、ネットワーク内部での「長期潜伏期間」(dwell time)があった可能性を示唆しています。防御機能の侵害、通常はアンチウイルス(AV)やエンドポイント検出応答(EDR)製品の無効化は、2026年のランサムウェア攻撃における重要な要素です。ランサムウェア開発者がアフィリエイトを引き付けるための独自のセールスポイントを模索する中、この「オールインワン」ペイロードアプローチは、2026年のサイバー犯罪ランドスケープにおける新たな標準となる可能性があります。