CD Projekt Redへの攻撃で大きな話題となったランサムウェアグループは、VMwareのESXi仮想マシンプラットフォームをターゲットにしたLinux版を使用し、被害をもたらしています。
企業がバックアップやリソース管理を容易にするために仮想基盤への移行を進める中、ランサムウェアグループは、これらのサーバを標的としたLinux暗号化ツールを作成し進化させています。
VMware ESXiは、最も一般的な企業向け仮想マシンプラットフォームの1つで、過去1年間でプラットフォームをターゲットにしたLinux暗号化ツールをリリースするランサムウェアグループの数が増加しています。
ESXiは、独自のカスタマーカーネルを使用しているため、厳密にはLinuxではありませんが、ELF64のLinux実行ファイルを実行できるなど、多くの類似した特徴を持っています。
HelloKittyのESXiへの移行
セキュリティ研究者のMalwareHunterTeamは、ESXiサーバーとその上で稼働する仮想マシンを標的としたランサムウェア「HelloKitty」のLinux ELF64バージョンを多数発見しました。
HelloKitty が Linux の暗号化装置を利用していることは知られていましたが、研究者が公に発見したサンプルは今回が初めてです。
MalwareHunterTeamが公開したランサムウェアのサンプルには、ESXiを参照する文字列や、ランサムウェアが実行中の仮想マシンをシャットダウンしようとする様子が確認できます
ESXiサーバを標的とするランサムウェアグループは、ファイルがロックされるのを防ぎ、データの破損を避けるために、ファイルを暗号化する前に仮想マシンをシャットダウンします。
Darksideの一部の協力者では、暗号化を開始する前にESXiのデーモンをすべて停止することを忘れる傾向があります。その結果、暗号化されたデータと暗号化されていないデータが混在したり、ファイルキーを含むフッターが部分的に上書きされたりすることがあります。
仮想マシンをシャットダウンする際、ランサムウェアはまず「soft」コマンドを使用したグレースフル・シャットダウンを試みます。
esxcli vm process kill -t=soft -w=%d
仮想マシンがまだ稼働している場合は、「hard」コマンドを使用して仮想マシンの即時シャットダウンを試みます。
ESXCLI VM PROCESS KILL -T=HARD -W=%D
最後に、仮想マシンがまだ稼働している場合は、「force」コマンドを使用して稼働中のVMを強制的にシャットダウンします。
esxcli vm process kill -t=force -w=%d
仮想マシンがシャットダウンされると、ランサムウェアは.vmdk(仮想ハードディスク)、.vmsd(メタデータとスナップショット情報)、.vmsn(VMのアクティブな状態を含む)の各ファイルの暗号化を開始します。
この方法は、ランサムウェアグループが1つのコマンドで多くの仮想マシンを暗号化できるため、非常に効率的です。
MalwareHunterTeamは、ESXiサーバーを標的とし、暗号化プロセスの一部としてesxcliコマンドを使用するLinux版のREvilランサムウェアも発見しました。
EmsisoftのCTOであるFabian Wosar氏は、Babuk、RansomExx/Defray、Mespinoza、GoGoogle、そして今は亡きDarkSideなどの他のランサムウェアグループも、ESXi仮想マシンを標的としたLinuxの暗号化ツールを作成していると語っています。
「ほとんどのランサムウェアグループがLinuxベースのランサムウェアを実装した理由は、特にESXiをターゲットにするためです」とWosar氏は述べています。
ランサムウェア「HelloKitty」とは?
HelloKityは、2020年11月から発見されており、最も有名な攻撃はCD Projekt Redに対するもので、デバイスを暗号化し、Cyberpunk 2077、Witcher 3、Gwentなどのソースコードを盗んだと主張しています。
その後、CD Projekt Redから盗んだファイルを何者かが購入したと言われています。
このランサムウェアまたはその亜種は、「DeathRansom」や「Fivehands」などの異なる名前で使用されています。
Comments