REvilランサムウェアは、Vmware ESXiの仮想マシンをターゲットにして暗号化するLinuxの暗号化ツールを使用していることがわかりました。
企業がバックアップやデバイスの管理、リソースの効率的な使用のために仮想マシンに移行する中、REvilランサムウェアグループは、仮想マシンが使用するストレージを大量に暗号化する独自のツールを作成するケースが増えているとのことです。
5月、Advanced Intel社のYelisey Boguslavskiy氏は、REvil社のフォーラムに投稿された記事を紹介し、NASデバイスでも動作するLinux版の暗号化ツールをリリースしていることを確認しました。
REvilがLinux版のNASへも動作するように機能が追加されたそうです。
またセキュリティリサーチャーのMalwareHunterTeamが、ESXiサーバーもターゲットにしていると思われるREvilランサムウェア(別名:Sodinokibi)のLinux版を発見しました。
新しい REvil Linux バージョンを分析した Advanced Intel の Vitali Kremez 氏は、このバージョンは ELF64 実行ファイルであり、より一般的な Windows 実行ファイルで使用されているのと同じ構成オプションが含まれていると述べています。
Kremez氏によると、このLinuxの亜種が公開されたのは今回が初めてとのことです。
サーバー上で実行された場合、攻撃者は暗号化するパスを指定し、サイレントモードを有効にすることができます。
ESXiサーバー上で実行すると、esxcliコマンドラインツールが実行され、実行中のESXi仮想マシンがすべてリストアップされ、VM群を終了させます。
これにより、ランサムウェア「REvil」がESXiによってロックされることなくファイルを暗号化することができるのです。
ファイルを暗号化する前に仮想マシンが正しく終了させられないと、データの破損につながる可能性があると、Emsisoft社CTOのFabian Wosar氏は説明しています。
Darksideの一部の協力者での行為、暗号化を開始する前にESXiのデーモンをすべて停止することを忘れる傾向があります。その結果、暗号化されたデータと暗号化されていないデータが混在したり、ファイルキーを含むフッターが部分的に上書きされたりすることがあります。
このように仮想マシンをターゲットにすることで、REvilは1つのコマンドで多くのサーバーを一度に暗号化することができます。
Wosar氏は、Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide、Hellokittyなどの他のランサムウェアグループも、ESXi仮想マシンを標的としたLinux暗号化装置を作成しているといいます。
「ほとんどのランサムウェアグループがLinuxベースのランサムウェアを実装した理由は、特にESXiをターゲットにするためです」とWosar氏は述べています。
REvil Linux暗号ランサムウェアに関連するファイルハッシュは、セキュリティ研究者のJaime Blascoによって収集され、AlienvaultのOpen Threat Exchangeで共有されています。
Comments