SuperBlack ランサムウェア: 回避すべきもう一つの脅威

SuperBlack ランサムウェアを理解する

SuperBlack は、 LockBit 3.0 ランサムウェアファミリーから派生したと考えられるランサムウェアの亜種です。この感染により、ファイルが暗号化され、復号化のために身代金が要求されます。バックアップがない限り、被害者はファイルを回復する手段がほとんどまたはまったくなくなります。感染すると、SuperBlack は元の名前にランダムな文字列を追加してファイル名を変更します。たとえば、「document.pdf」というファイル名は、「document.pdf.fB1SZ2i3X」になることがあります。

SuperBlack は、データを暗号化するだけでなく、被害者のデスクトップの壁紙を変更し、ランダムに生成された文字列 (例: [random_string].README.txt) のタイトルが付いた身代金要求メモをドロップします。身代金要求メモには、攻撃者に連絡する方法が書かれており、暗号化されたファイルが永久に破損する可能性があるため、サードパーティの回復ツールを使用しないよう警告されています。

身代金要求書には次のように書かれています。

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Financial information including clients data, bills, budgets, annual reports, bank statements.
- Complete datagrams/schemas/drawings for manufacturing in solidworks format
- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B75E19B7F2A4E1938A0

1)Download and install TOX chat: hxxps://tox.chat
2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD 2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.
>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.
>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

SuperBlack ランサムウェアの戦術と目的

SuperBlack は主に、ロシア語を話すとされる脅威アクター「Mora_001」として知られるサイバー犯罪グループによって使用されています。このランサムウェア キャンペーンは、2025 年 1 月から 3 月にかけて最も活発でした。このグループは被害者のシステムに侵入し、ファイルを暗号化して機密データを盗みます。盗まれた情報には、ネットワークの詳細、財務記録、製造データ、従業員や顧客の個人情報などが含まれます。

身代金要求書には、被害者が従わない場合は、盗んだデータをオンラインで漏らすと書かれています。さらに被害者にプレッシャーをかけるため、攻撃者はサンプルを提供して、暗号化されたファイル 1 つの復号化を実演し、データの流出を証明することを提案します。この戦術は恐怖と切迫感を煽り、被害者が身代金要求に屈する可能性を高めます。

SuperBlack と LockBit ランサムウェアの関係

証拠から、SuperBlack は LockBit ランサムウェアと、特にコード構造と暗号化技術において類似点があることが示唆されています。さらに、SuperBlack は、以前 LockBit オペレーターに関連付けられていた Tox ID (匿名メッセージ識別子) を使用していることが確認されています。ただし、SuperBlack は LockBit のインフラストラクチャを使用していないため、2 つのランサムウェア系統は関連している可能性はあるものの、それぞれが別々の動作を行う別個のエンティティであることが示されています。

高度に標的を絞った攻撃とは異なり、SuperBlack 攻撃は日和見的であり、特定の標的を定めずに脆弱なシステムを悪用します。攻撃者は、Fortinet ファイアウォールのセキュリティ上の弱点を悪用して最初のアクセスを取得し、その後権限を昇格して持続性を確立し、ネットワーク全体に横方向に移動することが知られています。攻撃の最終段階では、データの流出とそれに続くファイルの暗号化が行われます。

感染したらどうなるのでしょうか?

ほとんどのランサムウェア攻撃では、攻撃者の協力なしに復号化することはほぼ不可能です。サイバー犯罪者は高度な暗号化技術を使用するため、セキュリティ専門家が復号化ツールを開発するのは困難です。SuperBlack も例外ではありません。バックアップを持っていない被害者は、永久的なデータ損失に直面することがよくあります。

被害者が身代金を支払ったとしても、復号キーを受け取れる保証はありません。多くのサイバー犯罪グループは、身代金を支払った後も必要なツールを提供せず、身代金を支払ったことで犯罪活動がさらに進むことになります。セキュリティ専門家は身代金の支払いを強く勧めず、代わりにマルウェアを削除してバックアップからデータを復元することを推奨しています。

ランサムウェアの拡散方法

SuperBlack のようなランサムウェアは、さまざまな攻撃ベクトルを通じて拡散します。最も一般的な方法には次のようなものがあります。

• フィッシング メール:攻撃者は、ランサムウェアを実行する悪意のあるリンクや添付ファイルを含む不正なメールを使用します。
• ソフトウェアの脆弱性の悪用:ハッカーは、ファイアウォールの弱点など、古いソフトウェアやパッチが適用されていないソフトウェアを利用してアクセスします。
• ドライブバイダウンロード:ユーザーは、侵害された Web サイトにアクセスしたり、悪意のある広告をクリックしたりして、知らないうちにランサムウェアをダウンロードします。
• トロイの木馬ダウンローダー:一部のマルウェア プログラムは、ユーザーの知らないうちにランサムウェアをセカンダリ ペイロードとしてインストールします。
• 海賊版ソフトウェアとクラック:違法なソフトウェアのダウンロードには、ランサムウェアなどのマルウェアが隠されていることがよくあります。
• リムーバブル メディアとネットワークの伝播:ランサムウェアは、USB ドライブ、外付けハード ドライブ、さらにはローカル ネットワークを介して拡散する可能性があります。

SuperBlack ランサムウェアから身を守る

ランサムウェア感染を防ぐには、予防的なセキュリティ対策とユーザーの意識を高めることが必要です。SuperBlack や同様の脅威から身を守るためのベスト プラクティスをいくつか紹介します。

• 複数の場所にバックアップを保存する:回復可能性を確保するために、重要なデータを外付けドライブ、クラウド ストレージ、オフライン ストレージに定期的にバックアップします。
• 強力なセキュリティ ソリューションを使用する:脅威を検出してブロックするために、最新のウイルス対策およびマルウェア対策ツールをインストールして維持します。
• ソフトウェアを定期的に更新する:オペレーティング システム、ファイアウォール、その他のソフトウェアの脆弱性を修正して、攻撃のリスクを軽減します。
• 電子メールとリンクに注意してください:不明な送信者からの添付ファイルを開いたり、リンクをクリックしたりしないでください。ランサムウェアが含まれている可能性があります。
• 信頼できるソースからソフトウェアをダウンロードする:ソフトウェアとアップデートについては、公式 Web サイトと信頼できるアプリ ストアのみを使用してください。
• 管理権限の制限:システム ファイルへの不正な変更を防ぐために、ユーザーの権限を制限します。
• 多要素認証 (MFA) を使用する:機密性の高いアカウントに対して複数の認証手順を要求することでセキュリティを強化します。

感染した場合の対処法

システムが SuperBlack ランサムウェアによって侵害された場合は、直ちに次の手順を実行してください。

1. ネットワークから切断する:ランサムウェアが他のデバイスに拡散するのを防ぐために、感染したシステムを隔離します。
2. 身代金を支払わないでください:身代金を支払ってもファイルの回復が保証されるわけではなく、さらなる攻撃を助長する可能性があります。
3. マルウェアを削除する:セキュリティ ソフトウェアを使用して、ランサムウェアをスキャンして削除します。
4. データ復旧を試みる:可能な場合はバックアップからファイルを復元します。オンライン セキュリティ リソースで、潜在的な復号化ツールを確認します。
5. 攻撃を報告する:法執行機関やサイバーセキュリティ機関に通知して、脅威の実行者を追跡できるようにします。

キーテイク

SuperBlack ランサムウェアは、ファイルを暗号化し、被害者が身代金要求に応じない場合は盗んだデータを漏らすと脅迫する、高度で危険なマルウェアです。LockBit ランサムウェアといくつかの類似点がありますが、独自のインフラストラクチャと手法を使用して独立して動作します。

被害者は身代金を支払ってはいけません。身代金を支払うと犯罪行為が助長され、データの回復が保証されません。代わりに、マルウェアの削除、セキュリティ対策の強化、定期的なバックアップの維持に重点を置く必要があります。情報を入手し、サイバーセキュリティのベストプラクティスを実践することで、ユーザーは SuperBlack のようなランサムウェア攻撃のリスクを軽減できます。