ランサムウェアグループ「Hive」、LinuxとFreeBSDのシステムを攻撃できるように進化

ランサムウェアグループ「Hive」は、LinuxとFreeBSDをターゲットに開発された新種のマルウェアを開発し、LinuxとFreeBSDも暗号化するようになったことがわかりました。

ESETresearchは、HiveランサムウェアのLinuxとFreeBSDの亜種を確認しました。Windows版と同様に、これらの亜種はGolangで書かれていますが、文字列、パッケージ名、関数名はgobfuscateを用いて難読化されています。

インターネットセキュリティ企業ESETが発見したように、Hiveの新しい攻撃ツールはまだ開発中であり、機能もまだ不十分とのことです。

ESETの分析によると、このLinux版にはかなりのバグがあり、明示的なパスを指定してマルウェアを実行すると、暗号化が完全に失敗することが判明しました。

また、1つのコマンドラインパラメータ(-no-wipe)にしか対応していないのですが、HiveのWindows用ランサムウェアにはプロセスの強制終了やディスククリーニング、興味のないファイル、古いファイルのスキップなど、最大5つの実行オプションが用意されています。

また、このランサムウェアのLinux版は、感染したデバイスのルートファイルシステムにランサムノートを落とそうとするため、ルート権限なしで実行すると暗号化のトリガーに失敗します。

Linuxサーバーに興味を持つようになったランサムウェアグループ

Hiveは2021年6月から活動しているランサムウェアグループで、身代金の支払いを拒否した被害者だけを数えても、すでに30以上の組織が被害を受けています。

彼らは、企業のターゲットがデバイス管理を容易にし、リソースをより効率的に使用するために仮想マシンに徐々に移行した後、Linuxサーバーをターゲットにし始めた数多くのランサムウェアグループの1つです。

仮想マシンをターゲットにすることで、ランサムウェアグループは1つのコマンドで複数のサーバーを一度に暗号化することができるのです。

2021年6月には企業の仮想マシンプラットフォームとして人気の高いVMware ESXi仮想マシンをターゲットに設計された新しいランサムウェア「REvil」のLinux用暗号化ツールが発見されました。

EmsisoftのCTOであるFabian Wosarは、Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide、Hellokittyなどの他のランサムウェアグループも独自のLinux暗号化ツールを作成していると語っています。

ほとんどのランサムウェアグループがLinuxベースのランサムウェアを実装した理由は、特にESXiをターゲットにするためです

HelloKittyとBlackMatterランサムウェアのLinux暗号化ツールは、2021年7月と8月に実際に使用されていることが確認できたため、この予測はあたっていたことになります。

しかもこれらのLinuxマルウェアの一部にもバグがあり、暗号化の際に被害者のファイルにダメージを与える可能性があることが判明しました。

過去には、ランサムウェア「Snatch」や「PureLocker」の攻撃にもLinuxの亜種が使用されていました。

コメントを残す

メールアドレスが公開されることはありません。