Royal Ransomware

Royal Ransomware は、特に VMware ESXi 仮想マシンを標的とする最新のマルウェア バリアントに、Linux デバイスの暗号化のサポートを追加する最新のランサムウェア操作です。

Black BastaLockBitBlackMatterAvosLockerREvilHelloKittyRansomEXXHiveなど、他の複数のギャングによってリリースされた同様の Linux ランサムウェア エンクリプタについて報告されています。

新しい Linux Royal ランサムウェアの亜種は、Equinix Threat Analysis Center (ETAC) のWill Thomasによって発見され、コマンド ラインを使用して実行されます。

また、ランサムウェア オペレーターが暗号化プロセスをある程度制御できるようにする複数のフラグもサポートされています。

  • -stopvm > 実行中のすべての VM を停止して、暗号化できるようにします
  • -vmonly – 仮想マシンのみを暗号化します
  • -フォーク – 不明
  • – ログ – 不明
  • -id: ID は 32 文字でなければなりません

ファイルを暗号化するとき、ランサムウェアは VM 上のすべての暗号化されたファイルに .royal_u 拡張子を追加します。

マルウェア対策ソリューションでは、新しいターゲット機能をバンドルした Royal Ransomware サンプルの検出に問題がありましたが、現在、VirusTotal の 62 のマルウェア スキャン エンジンのうち 23 で検出されています。

Royal_Ransomware_ESXi_detections_VT
VirusTotal の検出スコア

Royal Ransomware とは?

Royal Ransomware は、以前に Conti ランサムウェア オペレーションで働いていた経験豊富な攻撃者で構成されたプライベート オペレーションです。

Royal は、2022 年 1 月に最初に発見されてから数か月後に、9 月から悪意のある活動を開始しました。

彼らは当初、BlackCat などの他のオペレーションの暗号化ツールを使用していましたが、Conti によって生成されたものと同様の身代金メモをドロップした Zeon から始めて、独自の暗号化ツールを使用するように移行しました。

9 月中旬、このグループは「Royal」というブランド名に変更し、同じ名前の身代金メモを作成する新しい暗号化ツールを攻撃に展開し始めました。

ギャングは、標的の企業ネットワーク システムを暗号化した後、25 万ドルから数千万ドルの身代金を要求します。

12 月、米国保健社会福祉省 (HHS) は、医療および公共医療 (HPH) セクターの組織を標的としたロイヤル ランサムウェア攻撃について警告しました。

Royal ランサムウェアの提出
Royal ランサムウェアの送信 (ID ランサムウェア)

ランサムウェアのほとんどが Linux も標的に

ランサムウェア グループが ESXi 仮想マシンをターゲットにする傾向にあるのは、デバイス管理が改善され、リソース処理がはるかに効率的になるため、企業が VM に移行する傾向と一致しています。

ペイロードを ESXi ホストに展開した後、ランサムウェア オペレーターは 1 つのコマンドを使用して複数のサーバーを暗号化します。

「ほとんどのランサムウェア グループが Linux ベースのバージョンのランサムウェアを実装した理由は、特に ESXi を標的にするためです」と Wosar 氏は昨年語っています。

Royal Ransomware の詳細と、フォーラムでこのサポート トピックにアクセスした場合の対処方法を見つけることができます。

Lansweeper のレポートによると、インターネット上に公開されている数万台の VMware ESXi サーバーが 10 月に寿命を迎えました。

これらのシステムは、今後テクニカル サポートのみを受けますが、セキュリティ アップデートは受けられないため、ランサムウェア攻撃にさらされます。

物事を大局的に見て、そのようなサーバーが攻撃にどれだけさらされているかを示すために、ESXiArgs として知られる新しいランサムウェア株が、今週金曜日に世界中のESXi デバイスを標的とする大規模なキャンペーンで、パッチが適用されていないサーバーをスキャンして暗号化するために使用されました。

Shodan の検索によると、わずか数時間で、世界中の 100 台を超えるサーバーがこれらの攻撃で侵害されました。