2020年初頭、ランサムウェアグループがセキュリティソフトウェアを回避する技術的解決策として、感染したホスト上の仮想マシン上で悪意のあるペイロードを実行できる方法を思いついており、実際のVMを使用した攻撃が発見されています。
この手法はサイバー犯罪のアンダーグラウンドで広まっており、現在では複数のランサムウェア事業者が使用しています。
この手法は、2020年5月にRagnar Lockerで最初に発見されましたが、同年後半にはMazeランサムウェアグループでも採用され、最近ではContiランサムウェアやMountLockerランサムウェアが展開された攻撃でも見られている攻撃手法です。
この手法が普及しているのは当然のことであり、脅威の主体にとって具体的なメリットがるためです。
具体的には感染したホストにアクセス基盤を築いたランサムウェアグループがVMソフトウェアをダウンロードしてインストールするというもので、ランサムウェアグループは、ホスト上でVMインスタンスを起動し、ホストコンピュータのストレージをVMと共有した後、VM内で被害者のファイルを暗号化していきます。
暗号化処理が終了すると、VMインスタンスは破棄されます。VMの破棄は攻撃者にとっても副次的なメリットがあり、その後の事故調査に必要な重要なフォレンジックの証拠が大量に破棄されるためです。
セキュリティ企業のシマンテック社は、仮想マシンソフトウェアが不正にインストールされた場合の検知ルールを追加するよう企業に呼びかけています。
Comments