Linux version of BlackMatter ransomware targets VMware ESXi servers
2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。
VMware ESXi を狙う BlackMatter
昨日に、セキュリティ研究者である MalwareHunterTeam は、BlackMatter ランサムウェア・ギャングによ、Linux ELF64 暗号化ツールを VirusTotal で発見したが、この暗号化ツールの機能を解析したところ、VMware ESXi サーバーをターゲットにしていることが分かった。BlackMatter とは、先月に立ち上げられた新しいランサムウェアであり、DarkSide のリブランドと考えられている。研究者がサンプルを発見/解析した後に、このランサムウェアが使用している暗号化ルーチンは、DarkSide が使用していた独自のものと同じであることが判明した。DarkSide は、Colonial Pipeline を攻撃して停止させた後に、国際的な取締りと米国政府の本気の圧力を感じて、その活動を停止している。
BleepingComputer に共有されたサンプルからは、BlackMatter の Linux エンクリプターが、VMWare ESXi サーバーだけを標的にするために設計されたことが判明した。このサンプルをリバース・エンジニアリングした Advanced Intel の Vitali Kremez は、BlackMatter は VMware ESXi サーバー上で各種の操作を行うために、esxi_utils ライブラリを作成したと語っている。Kremez によると、実装されている機能に含まれるものは、VM の一覧表示や、ファイアウォールの停止、VMの停止などがあり、コマンド・ライン管理ツールである esxcli により、個々のコマンドが実行されるという。
ESXi サーバーを標的としたランサムウェアは、ドライブを暗号化する前に仮想マシンを停止させようとする。つまり、暗号化の処理が行われている間に、データが破損するのを防ぐためだ。すべての仮想マシンがシャットダウンされると、ランサムウェアに含まれる設定に基づいて、特定のファイル拡張子に一致するファイルが暗号化される。ESXi サーバーを標的にすることで、1つのコマンドで多数のサーバを一度に暗号化することが可能になるため、ランサムウェア攻撃を行う上で極めて効率的となる。
より多くの企業がサーバーのプラットフォームを、この種の仮想マシンへと移行するにつれ、ランサムウェアの開発者は Windows マシンに焦点を当てながらも、ESXi をターゲットにする Linux 用の暗号化システムを開発し続けるだろう。Emsisoft の CTO である Fabian Wosar は、BleepingComputer に対して、REvil / HelloKitty / Babuk / RansomExx / Defray / Mespinoza / GoGoogle などのランサムウェアギャングたちも、同じ目的のために Linux 暗号化ツールを開発していると述べている。
ついに BlackMatter が動き出したようです。この話は、7月13日の「REvil ランサムウェアが姿をくらましたが理由は不明」と、7月28日の「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」を先に読むと、経緯がわかりやすいと思います。また、BlackMatter ランサムウェアの運営者は、医療機関/重要インフラ/防衛産業/非営利企業をターゲットにしないと発表しているようです。欧米の諜報機関に追跡されないよう、活動の範囲を制限しているかに見えますね。
IoT OT Security News 