Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加

Hive ransomware now encrypts Linux and FreeBSD systems

2021/10/29 BleepingComputer — ランサムウェア Hive は、Linux や FreeBSD をターゲットに開発された新種のマルウェアを用いて、これらのプラットフォームも暗号化してしまう。しかし、スロバキアのインターネット・セキュリティ企業 ESET が発見したように、Hive の新しい暗号化ツールは開発中であり、機能が不足している。

ESET の分析によると、この Linux 版にはかなりのバグがあり、明示的なパスを指定してマルウェアを実行すると、暗号化が完全に失敗することが判明している。また、コマンドライン・パラメータとしては、(-no-wipe) に対応しているのみである。

その一方で、Hive の Windows 用ランサムウェアには、プロセスの強制終了や、ディスク・クリーニング、興味のないファイルのスキップ、古いファイルのスキップなど、5の実行オプションが用意されている。また、このランサムウェアの Linux 版は、感染したデバイスの root ファイル・システムにランサム・ノートを落とそうとするため、root 権限を持たずに実行すると暗号化のトリガーに失敗する。

ESET Research Labs は、「Windows 版と同様に、これらの亜種は Golang で書かれているが、文字列/パッケージ名/関数名は、おそらく gobfuscate を使って難読化されている」と述べている。

Linux サーバーに興味を持つようになったランサムウェア

2021年6月頃から活動しているランサムウェア・グループ Hive は、身代金の支払いを拒否した被害者だけを数えても、すでに 30以上の組織を襲っている。デバイス管理を容易にしたい企業が、リソースを効率的に使用するために、仮想マシンへと移行した後に、Linux サーバーをターゲットにし始めた Hive は、数多くのランサムウェア・ギャングの1つに過ぎない。

ただし、仮想マシンをターゲットにすることで、ランサムウェアのオペレーターは、1つのコマンドで複数のサーバーを一度に暗号化できる。6月には、企業の仮想マシン・プラットフォームとして人気の高い、VMware ESXi 仮想マシンをターゲットに設計された、ランサムウェア REvil の Linux 用暗号化ツールが発見された。

Emsisoft の CTO である Fabian Wosar は、Babuk/RansomExx/Defray/Mespinoza/GoGoogle/DarkSide/Hellokitty などのランサムウェア・グループも。独自の Linux エンクリプターを作成していると、BleepingComputer に語っている。

Fabian Wosar は、「ほとんどのランサムウェア・グループが、Linux ベースのランサムウェアを実装した理由は、特に ESXi をターゲットにするためだ」と述べている。HelloKitty と BlackMatter ランサムウェアの Linux エンクリプターは、7月と8月にセキュリティ研究者により悪用が発見され、Wosar の発言を裏付ける結果となった。

その1ヵ月後には、これらの Linux マルウェアの一部にバグがあり、暗号化の際に被害者のファイルにダメージを与える可能性があることが判明した。過去には、ランサムウェア Snatch や PureLocker の攻撃でも、Linux 用の亜種が使用されていた。

これまで、Hive に関する記事を取り上げていなかったので、ちょっと気になっていました。今回、Linux と FreeBSD がターゲットになったとのことで、この記事を訳してみました。標的とする範囲が広がることで、新たな分野で攻撃が発生する可能性が高まります。まだ、完成したものではないようですが、注意が必要ですね。

%d bloggers like this: