Water Balinsugu(RansomHouse)とは?攻撃手法や特徴を解説
報道等でも目にするようになったランサムウェア攻撃者グループ「RansomHouse」。トレンドマイクロが「Water Balinsugu」という呼称で追跡するこのグループは、どのような特徴をもつのでしょうか?
ランサムウェア攻撃者グループ「RansomHouse」の名が、昨今報道などで多くの人々の耳目を集めています。トレンドマイクロでは、同グループを「Water Balinsugu(ウォーター バリンスグ)」という名称で追跡しており、本記事ではこの名称を用いて、その特徴などを解説します。
Water Balinsugu(RansomHouse)とは?
トレンドマイクロでは、Water Balinsuguの活動を2021年後半から観測しています。
当初はランサムウェアの作成・使用を行わないと主張し、データを暗号化せずに、被害組織から窃取したデータに対する身代金を要求するのみだったようです(こうした手口を「ノーウェアランサム」とも呼びます)。
しかし現在では暗号化も実施し、二重脅迫、すなわち、まずファイルを暗号化して身代金を要求し、次に支払いを拒否した被害組織をグループのリークサイト(暴露サイト)で組織名とともに公表、同時に窃取したデータを公開するという手法をとっています。
<参考記事>警察庁のサイバー犯罪レポートに見る「ノーウェアランサム」とは? ~組織として対策しておくべきことは変わるのか?~
同グループは「プロの仲介者集団」というイメージを醸成することで、典型的なランサムウェア攻撃者との差別化を図ろうとしているようです。また、標的組織のシステムにおけるセキュリティ上の欠陥を見つけることに専念して運営されていると主張し、それを報告する代わりに、被害組織の機密情報を窃取、身代金の支払いを要求します。さらには、適切なサイバーセキュリティ対策を取っていない組織にこそ非があり、自身と顧客を保護しようとしていないと見なして標的としたり、被害組織のセキュリティ対策の不備を批判したり、あるいは攻撃を二度と受けないようアドバイスまで行うなど、独特の特徴がみられるようです。
しかしながら、身代金を要求する以上は、グループの動機が金銭の窃取にあることは明白と言えるでしょう。
標的は多岐にわたります。テクノロジー、ヘルスケア、小売など、様々な業種に及び、米国、イタリア、英国の企業と見られていますが、言うまでもなく、金銭的成果が上がると判断すれば、国や地域、業種に関わらず標的となり得ます。
Water Balinsugu(RansomHouse)の戦術・攻撃手法・攻撃手順(TTPs)
トレンドマイクロのリサーチでは、同グループは「Mario ESXi」と呼ばれる独自のランサムウェア亜種、ランサムウェアファミリー「White Rabbit」、そして「MrAgent」というツールを使用し、WindowsとLinuxベースの両方のシステムを標的とします。
Mario ESXiは、特にVMware ESXiを標的として設計され、2021年に登場した「Babuk」ランサムウェアのリークされたソースコードを基にして開発されたとみられます。
White Rabbitは、サイバー犯罪者グループ「FIN8」と関連があると考えられています。このランサムウェア自体はそのままでは動作せず、ペイロードの内部が暗号化されています。特定のコマンドラインパスワードによりペイロードを復号、動作を展開します。この特徴は、ランサムウェアファミリー「Egregor」が自身の手口が検出されるのを回避するために用いた仕組みです。
MrAgentとは、大規模環境におけるランサムウェア配信プロセスの自動化や、複数のハイパーバイザーへの同時展開などが行えるツールです。
<参考記事>
・VMware ESXi/vCenterを狙うサイバー攻撃とは?
・新たなランサムウェア「White Rabbit」が駆使する検出回避の手法について
上記のほかに、同グループの攻撃では次のTTPsを観測しています。
• 初期アクセスの獲得:フィッシング、脆弱性の悪用
• 水平展開:いくつかのツールを使用してシステムネットワークをスキャン。水平展開はRDP、SSH、PsExecを使用
• 認証情報へのアクセス:Mimikatz、ProcDump、またはブルートフォース攻撃を使用
また、同グループはコミュニケーションの手段として、Telegramチャンネル、ならびにonionサイトを用います。onionサイトとは、Torネットワーク上でのみアクセスできる特殊なドメイン「.onion」を持つWebサイトです。Torブラウザーを使う必要があり、URLはランダムな文字列で構成され、匿名性が高いのが特徴です。その匿名性が悪用され、ダークウェブなど、違法取引の温床にもなっています。
<参考記事>
・サイバー攻撃でよく悪用される正規ツールとは?
・Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
推奨される対策は?
Water Balinsuguの主な特徴を見てきましたが、どのような対策を取ればよいのでしょうか?
上記のTTPsを見る限り、同グループの手口や使用ツールには他の攻撃者グループと多くの共通点が見られます。したがって、特別な対策というよりも、組織のネットワークに侵入しようとするサイバー攻撃全般への対策を適切にとっていれば、被害に遭うリスクを低減できると言えるでしょう。
具体的には、「プロテクト戦略」と「レスポンス戦略」の両面から検討することをおすすめします。
●プロテクト戦略:リスク起点の能動的対策
・攻撃を自由にさせないためのゼロトラストやネットワーク分離などの実装
・組織の環境を可視化したうえで、環境内の弱点を把握し、リスクを最小化するためのアタックサーフェス管理
・万が一被害を受けた場合にも、迅速に復旧するためのバックアップとリストア体制を構築
●レスポンス戦略:インシデント起点の受動的対策
・複数のポイントで攻撃を早期に可視化、適切な対応を迅速にとり、被害を最小化する、EDR/XDRの実装
・ファイアウォール、IDS/IPS、メールやウェブなどのゲートウェイ対策、ネットワーク可視化、エンドポイント可視化、従業員へのセキュリティ教育などによる多層防御
また、サプライチェーン全体を考えたセキュリティ体制も考慮に入れる必要があります。報道等でも見られるとおり、昨今のサイバーインシデントでは取引先や関連会社にも深刻な被害が及び、場合によっては一般消費者も影響を受けることが多々あります。それはすなわち、自組織を含めたサプライチェーン全体のセキュリティ体制について、社会に対して説明責任があるということになります。したがって、サプライチェーン全体の対策には、組織全体の参加と、経営層のリーダーシップが欠かせないと言えるでしょう。
<関連記事>
・警察庁のサイバー犯罪レポートに見る「ノーウェアランサム」とは? ~組織として対策しておくべきことは変わるのか?~
・VMware ESXi/vCenterを狙うサイバー攻撃とは?
・新たなランサムウェア「White Rabbit」が駆使する検出回避の手法について
・サイバー攻撃でよく悪用される正規ツールとは?
・Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
Security GO新着記事
Water Balinsugu(RansomHouse)とは?攻撃手法や特徴を解説
(2025年11月10日)
ClickFix(クリックフィックス)とは? 多様な攻撃に悪用されるソーシャルエンジニアリングの手口
(2025年11月6日)
ジャガー・ランドローバーのサイバーインシデントが示す戦略的教訓
(2025年11月6日)
