2023年5月12日 / 最終更新日 : 2023年5月12日 Kazuo_Komoriya ほぼこもセキュリティニュース

ESXi向けランサムウェアのソースコード

ほぼこもセキュリティニュース By Terilogy Worx

大きな活動を展開しているランサムウェアアクターがいくつもあります。
ContiやREvilという名前は見たことがある人も多いのではないでしょうか。
こういった大きく展開している脅威アクターですが、活動が大きいからといって、それぞれのなかで全部の活動の準備を実施しているということではないようです。
どういうことでしょうか。

  • 2021年にBabukのソースコードが漏洩
    Babukは、ESXi向けランサムウェアの領域でかなり初期から存在するものの一つです。
    そのBabukの使用するマルウェアのソースコードのうちの一部が2021年に漏洩しました。
    出てきたものは、BabakのC++で書かれたELFフォーマットのESXi向けバイナリ、Golangで書かれたNetwork Attached Storage(NAS)機構、Windows環境で使用できる構築ツールのC++用のプロジェクトファイル、です。
  • Marioランサムウェアの暗号化機構
    Marioランサムウェアは2021年から活動していることが確認されている脅威アクターです。
    活動開始当初はファイルの暗号化を実施する行動は実施していませんでしたが、暗号化を使用する内容に移行しました。
    そして暗号化完了後には脅迫文が残されるのですが、この脅迫文の内容のなかにBabukの出力するそれとの大きな同一性が確認されました。
    同一性は暗号化機構においても見られました。
  • Conti POC
    Contiは大きな活動を展開するランサムウェアアクターの一つです。
    このアクターではこれまでいろいろな内部情報が露呈してしまっている例がありますが、そのなかに、2021年初頭頃のチャット履歴もありました。
    その内容からContiがESXiロッカーを動作させるのに苦労していたことが明らかになっています。
    そんなことと関係しているのかしていないのか、Conti POCと呼ばれるバイナリが観測されています。
    このConti POCは名前の通り概念実証コードだったと思われます。
    Conti POCは成熟度が低いものでした。
    そしてその後、Conti ESXi Lockerが観測されています。
    こちらは実際にContiがESXi向けの攻撃活動で使用したものです。
    Conti ESXi LockerはConti POCに比較すると成熟したものとなっていましたが、内部のコードを比較すると類似点が多く確認されています。
    そしてさらにConti POCはBabukとの類似性も確認されています。
    つまりこれらのコードの類似性から、Conti ESXi LockerはBabukのコードをベースとして開発された可能性が考えられます。
  • RHKRC
    RHKRCはランサムウェア活動で使用されるツールの一部です。
    このRHKRCは暗号化機構の部分においてConti POCとの同一性が確認されています。
    そしてさらにRHKRCはネイティブスレッドプーリングを含む多くの関数名などにおいてBabukとの同一性が見られます。
    そんなRHKRCですが、Revixとの共通性も確認されています。
    RevixはREvilの使用するツールです。
    RHKRCとRevixは、同じ内部ファイル名のexe、身代金メモ名、追加されたファイル拡張子を使用します。
    RHKRCとRevixの共通性は内部機構というよりも変更が容易な表面的なものといえますので他の類似性に比較すると同一性があると言い切れるかについては想像の域を出ないとも考えられます。

どういうことなのでしょうか。
文字通りひとつのソースコードの漏洩から多くの派生のマルウェアが生まれたということなのでしょうか。
それとも実はこれらのマルウェア部分の開発者が実は一人で、みんな同じ開発者に開発を依頼していたということなのでしょうか。
あるいは、コードの漏洩があたかもオープンソースコミュニティの活動のように分散開発環境を作り出し、共同で拡張するような事態が起こっていたのでしょうか。

心配な状況ですが心配するだけでは対策にはなりません。
古いバージョンを使うことやネットワークの設計や設定が妥当でないことは、脅威が成り立つことに直結します。
システムを運用する立場で正しい運用を継続することは、基本的ではありますが重要な対策となります。

参考記事(外部リンク):Hypervisor Ransomware | Multiple Threat Actor Groups Hop on
Leaked Babuk Code to Build ESXi Lockers
www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

フェイクアップデート
2023年5月11日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

悪用されるPaperCut
2023年5月15日