ランサムウェアグループ「Hive」は、LinuxとFreeBSDをターゲットに開発された新種のマルウェアを開発し、LinuxとFreeBSDも暗号化するようになったことがわかりました。
ESETresearchは、HiveランサムウェアのLinuxとFreeBSDの亜種を確認しました。Windows版と同様に、これらの亜種はGolangで書かれていますが、文字列、パッケージ名、関数名はgobfuscateを用いて難読化されています。
インターネットセキュリティ企業ESETが発見したように、Hiveの新しい攻撃ツールはまだ開発中であり、機能もまだ不十分とのことです。
ESETの分析によると、このLinux版にはかなりのバグがあり、明示的なパスを指定してマルウェアを実行すると、暗号化が完全に失敗することが判明しました。
また、1つのコマンドラインパラメータ(-no-wipe)にしか対応していないのですが、HiveのWindows用ランサムウェアにはプロセスの強制終了やディスククリーニング、興味のないファイル、古いファイルのスキップなど、最大5つの実行オプションが用意されています。
また、このランサムウェアのLinux版は、感染したデバイスのルートファイルシステムにランサムノートを落とそうとするため、ルート権限なしで実行すると暗号化のトリガーに失敗します。
Linuxサーバーに興味を持つようになったランサムウェアグループ
Hiveは2021年6月から活動しているランサムウェアグループで、身代金の支払いを拒否した被害者だけを数えても、すでに30以上の組織が被害を受けています。
彼らは、企業のターゲットがデバイス管理を容易にし、リソースをより効率的に使用するために仮想マシンに徐々に移行した後、Linuxサーバーをターゲットにし始めた数多くのランサムウェアグループの1つです。
仮想マシンをターゲットにすることで、ランサムウェアグループは1つのコマンドで複数のサーバーを一度に暗号化することができるのです。
2021年6月には企業の仮想マシンプラットフォームとして人気の高いVMware ESXi仮想マシンをターゲットに設計された新しいランサムウェア「REvil」のLinux用暗号化ツールが発見されました。
EmsisoftのCTOであるFabian Wosarは、Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide、Hellokittyなどの他のランサムウェアグループも独自のLinux暗号化ツールを作成していると語っています。
ほとんどのランサムウェアグループがLinuxベースのランサムウェアを実装した理由は、特にESXiをターゲットにするためです
HelloKittyとBlackMatterランサムウェアのLinux暗号化ツールは、2021年7月と8月に実際に使用されていることが確認できたため、この予測はあたっていたことになります。
しかもこれらのLinuxマルウェアの一部にもバグがあり、暗号化の際に被害者のファイルにダメージを与える可能性があることが判明しました。
過去には、ランサムウェア「Snatch」や「PureLocker」の攻撃にもLinuxの亜種が使用されていました。
Comments