Linux version of LockBit ransomware targets VMware ESXi servers
2022/01/26 BleepingComputer — LockBit は最新のランサムウェアであり、Linux の暗号化機能を用いた、VMware ESXi の仮想マシンの暗号化に特化していることが判明している。その一方で、一般的な企業では、コンピュータ・リソースの節約/サーバーの統合/バックアップの容易さなどの理由から、仮想マシンへの移行が進んでいる。そのような状況を受け、これまでの1年間でランサムウェア・ギャングたちは、人気の高い VMware vSphere/ESXi 仮想化プラットフォームを標的とする、Linux エンクリプターを作成するよう、戦術を進化させてきた。
厳密に言うと、ESXi は 厳は Linux ではないが、ELF64 の Linux 実行ファイルを走らせるなど、その特徴の多くを共有している。
LockBit の標的は VMware ESXi サーバー
2021年10月に LockBit は、RAMP ハッキング・フォーラムにおいて、VMware ESXi仮想マシンを標的とした新しい Linux 暗号化装置を含む、Ransomware-as-a-Service の新機能の宣伝を開始した。Trend Micro の研究者たちは新しいレポートの中で、このランサムウェア・ギャングのLinux 暗号化ツールを分析し、VMWare ESXi/vCenter を標的にする方法を説明している。
BleepingComputer では、過去において HelloKitty/BlackMatter/REvil/AvosLocker/Hive などのランサムウェアが、同様の Linux 暗号化を行っていたことを報告している。他の Linux 暗号化装置と同様に、LockBits はコマンドライン・インターフェースを提供しており、アフィリエイトによる攻撃の調整のための、様々な ON/OFF 機能を提供している。
これらの機能には、暗号化ファイルのサイズやバイト数や、仮想マシンの実行と停止、空き領域の消去などの指定が可能となっている。しかし、LockBit linux Encryptor が際立っているのは、VMware ESXI と VMware vCenter のコマンドライン・ユーティリティを広く使用し、実行されている仮想マシンのチェックや、暗号化による破損を防ぐためのシャットダウンなどが可能となっている点である。Trend Micro が LockBit の暗号化装置で確認したコマンドの、全リストは以下の通りである。
| Command | Description |
|---|---|
| vm-support –listvms | Obtain a list of all registered and running VMs |
| esxcli vm process list | Get a list of running VMs |
| esxcli vm process kill –type force –world-id | Power off the VM from the list |
| esxcli storage filesystem list | Check the status of data storage |
| /sbin/vmdumper %d suspend_v | Suspend VM |
| vim-cmd hostsvc/enable_ssh | Enable SSH |
| vim-cmd hostsvc/autostartmanager/enable_autostart false | Disable autostart |
| vim-cmd hostsvc/hostsummary grep cpuModel | Determine ESXi CPU model |
Trend Micro によると、この暗号化装置は、ファイルの暗号化にAESを使用し、復号鍵の暗号化には楕円曲線暗号 (ECC) アルゴリズムを使用しているとのことだ。企業内で VMware ESXI が広く使用されていることから、すべてのネットワーク管理者やセキュリティ専門家は、大規模なランサムウェアの運用により、すでに Linux の亜種が作り出されていると考えるべきだろう。
このように想定することで、管理者やセキュリティ専門家は、Windows デバイスだけではなく、ネットワーク内の全てのデバイスを保護するための、適切な防御策や計画を確立できる。それは、特に LockBit のケースに当てはまる。LockBit は、REvil の停止後において、最も著名なランサムウェア・ギャングとなり、その暗号化装置の速度と機能セットを誇っている。
また、私たちがランサムウェア・ギャングを監視しているのと同様に、彼らも私たちを監視していることを忘れてはならない。つまり、ランサムウェア・ギャングは、研究者やジャーナリストのソーシャル・フィードを監視し、最新の戦術/防御策/脆弱性を見つけ出し、それをターゲットに適用しているのだ。ランサムウェア・ギャングは、セキュリティ担当者や Windows 管理者の一歩先を行くために、暗号化や戦術を常に進化させている。
LockBit で検索してみると、LockFile や、Dark Side、BlackMatter などとの相関が見えてきます。また、1月20日の「ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理」のチャートを見れば、ランサムウェア・ファミリー Top-5 に、LockBit が入っていることも分かります。2021年8月の「Accenture が LockBit 2.0 ランサムウェアに攻撃される」では、ターゲットが Linux なのかどうか、その点が不明ですが、攻撃を成功させていることは確かなようです。要警戒ですね。
IoT OT Security News 