2022年3月28日 / 最終更新日 : 2022年3月28日 Kazuo_Komoriya ほぼこもセキュリティニュース

調査しにくくなっていくランサムウェア

ほぼこもセキュリティニュース By Terilogy Worx

いくつものランサムウェアグループがLinuxをターゲットとした活動を展開しています。
そしてそのターゲットのLinuxのなかの重要な部分を占めている対象にESXiがあります。
ESXiの企業での利用が進んでいるため、ESXiを対象とした活動がお金につながりやすくなっているためです。

Hiveランサムウェアが使用しているツールが更新され、従来のものよりも調査が実施しにくい状態に変化してきていることが確認されています。
こんな感じです。

  • 身代金交渉用サイトのURLの埋め込みをやめる
    これまで確認されているランサムウェアツールでは、身代金交渉用サイトのURLがランサムウェアに埋め込まれているものが確認されています。
    これはランサムウェアが活動する際に通信などを使用することなく身代金交渉用サイトへ誘導することができることを示します。
    しかし、URLが埋め込まれているためにランサムウェアの検体を調査されるとURLを研究者に取得されてしまうということでもあります。
    研究者にURLを把握されてしまうと交渉の様子を覗き見られてしまい、最終的には交渉が決裂することになる場合があります。
    こういったことを嫌がり、URLの埋め込みをやめてランサムウェアの実行時に引数として渡す仕様に変更されました。
    これにより、研究者は検体を入手しただけではURLを確認できない状態となりました。
  • 身代金交渉用サイトのユーザ名とパスワードの埋め込みをやめる
    こちらも同じ話です。
    従来は埋め込みの形式で実装されていましたが、これが引数で渡す仕様に変更されました。
  • ランサムウェアの実装言語をGoからRustに変更する
    単に利用する言語を変更したということではなく、難読化も同時に実施しているようです。
    Rustで書かれたプログラムのバイナリは逆コンパイルで内容を確認できる場合があります。
    しかしRustではいくつもの難読化手法が利用できますので、これらを使うことでプログラムの中の情報を研究者に読み取られないようにすることができます。

これらの特徴は現在のHiveのツールで確認されたものですが、Hiveに限った話ではなくなってくることが考えられます。
犯罪グループの活動はどんどん巧妙化していきます。
私たち防御側も日々の改善が必要と考えたほうがよさそうです。

参考記事(外部リンク):Hive ransomware ports its Linux VMware ESXi encryptor to
Rust
www.bleepingcomputer.com/news/security/hive-ransomware-ports-its-linux-vmware-esxi-encryptor-to-rust/

カテゴリー
ほぼこもセキュリティニュース
News
TWXlogo

前の記事

日本サイバーディフェンス株式会社との資本・業務提携契約の締結 及び 第三者割当増資の引受に関するお知らせ
2022年3月25日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

MuhstikはRedisから
2022年3月29日