REvil ransomware’s new Linux encryptor targets ESXi virtual machines
2021/06/28 BleepingComputer — REvilランサムウェアが、Linux の暗号化ツールを使用することで、Vmware ESXi の仮想マシンをターゲットにし始めている。企業におけるバックアップ/デバイス管理/リソース使用の効率化などために、仮想マシンへの移行が進んでいることから、仮想マシン上のストレージを暗号化する独自のツールを、ランサムウェア・ギャングが作成するケースが増えている。
この 5月に、Advanced Intel の Yelisey Boguslavskiy は、NAS デバイスでも動作する暗号化ツールの Linux 版が、REvil のフォーラムで紹介されていたことを明らかにした。そして今日、セキュリティ研究者である Malware Hunter Team は、ESXi サーバーを標的にしていると思われる、REvil ランサムウェア (別名:Sodinokibi) Linux 版を発見した。新しい REvil Linux 版を分析した Advanced Intel の Vitali Kremez は BleepingComputer に対し、発見されたのは ELF64 実行ファイルであり、一般的な Windows 実行ファイルで利用されているバージョンと、同様の設定オプションを含むと述べている。
Kremez によると、この Linux の亜種は公開されていたが、発見されたのは初めてのことになる。サーバー上で実行された場合、脅威アクターは暗号化するパスを指定し、サイレント・モードを有効にすることができる。ESXi サーバー上で実行すると、esxcli コマンドライン・ツールを実行して、稼働中のESXi 仮想マシンをすべてリストアップし終了させる。このコマンドは、/vmfs/ フォルダに格納されている、仮想マシン・ディスク (VMDK) ファイルをクローズする。そして、ランサムウェア REvil によるファイルの暗号化が、ESXi によるロックを回避して実行される。
この記事は Emsisoft の CTO である Fabian Wosar のコメントを紹介しています。もし、仮想マシンのファイルを暗号化する前に、仮想マシンが正しく閉じられないと、データの破損につながる可能性があるそうです。しかし、REvil の方式を使えば、1つのコマンドで多くのサーバーを一度に暗号化することが可能なため、仮想マシンをターゲットにする場合に適しているそうです。Wosar が BleepingComputer に語ったところによると、Babuk / RansomExx Defray / Mespinoza / GoGoogle / DarkSide / Hellokitty などのランサムウェアも、ESXi 仮想マシンを標的とした Linux 暗号化装置を作成しているようです。Wosar は、「大半のランサムウェア・グループが、Linux ベースの暗号化を実装した理由として、ESXi をターゲットにしている状況が挙げられる」と述べています。REvil Linux エンクリプターに関連するファイル・ハッシュは、セキュリティ研究者の Jaime Blasco により収集され、Alienvault の Open Threat Exchangeで共有されています。
IoT OT Security News 