Hive が Linux VMware ESXi 暗号化ツールを Rust に移植:解析と分析が困難に

Hive ransomware ports its Linux VMware ESXi encryptor to Rust

2022/03/27 BleepingComputer — ランサムウェア Hive は、VMware ESXi Linux 用の暗号化ツールを、Rust プログラミング言語で書き換え、セキュリティ研究者による身代金交渉のチェックを、難しくするための新機能を追加した。企業における仮想マシンへの依存度は、コンピュータ・リソースの節約/サーバの統合/バックアップの容易化などのニーズの中で高まっているが、このランサムウェア集団は、それらのサービスに特化した専用の暗号化ツールを作成している。

通常、ランサムウェア・ギャングたちの Linux 暗号化ツールは、企業で最も広く使用されている VMware ESXI 仮想化プラットフォームを標的としている。Hive は、以前から VMware ESXi サーバを標的とした、Linux 暗号化ツールを使用してきたが、最近のサンプルにより、BlackCat/ALPHV ランサムウェアが初めて導入した、独自の機能で暗号化ツールを刷新していることが判明した。

Hive は BlackCat から機能を借用している

このランサムウェアは、被害者を攻撃する際に、身代金を支払わなければデータを公開され、風評被害を受けると脅し、内密に交渉を進めようとする。しかし、一般的には、ランサムウェアのサンプルが、公開マルウェア解析サービスにアップロードされると、セキュリティ研究者による身代金請求書の抽出が可能となり、交渉を盗み見られてしまう。そして、その内容が Twitter などで公開され、交渉が失敗するケースも少なくはない。

BlackCat ランサムウェアは、このような事態を防ぐために、暗号化装置から Tor ネゴシエーションの URL を削除した。その代わりに、暗号化装置の実行時にコマンドラインの引数として、URL を渡すことを義務付けた。この機能は、実行ファイルには含まれず、実行時にのみに受け渡されるため、サンプルを発見した研究者による URL の取得が妨げられる。

以前から Hive は、被害者が Tor ネゴシエーション・ページにアクセスする際に、ログイン名とパスワードを要求してきたが、これらの認証情報は、これまで暗号化のための実行ファイルに保存されていたことで、容易に取得することが可能だった。

Hive Tor ransom negotiation site
Hive Tor ransom negotiation site


Group IB のセキュリティ研究者である rivitna が発見した、新しい Hive Linux encryptor では、マルウェアの起動時にユーザー名とログイン・パスワードが、コマンドラインの引数として、攻撃者から与えるように変更された。

Instructions to Hive ransomware affiliates
Instructions to Hive ransomware affiliates
Source: rivitna

この、BlackCat の手口を真似た、Hive ランサムウェアの運用により、Linux マルウェアのサンプルから、交渉用のログイン情報を取得することが不可能になった。つまり、認証情報は、攻撃中に作成されるランサムノートにのみ記載されるようになった。現時点では、Hive Windows 暗号化ソフトが、この新しいコマンドライン引数を使用しているかどうかは不明だが、もし使用していなくても、間もなく追加されると思われる。

また、Rivitna は BleepingComputer に対して、Hive は BlackCat をコピーし続け、Linux の暗号化ツールを Golang から Rust に移植し、ランサムウェア・サンプルに対するリバース・エンジニアリングを、困難なものにしていると述べている。rivitna は、「Rustを使用すると、より安全かつ高速で、効率の良いコードを取得できるが、コードの最適化により、Rust プログラムの分析が複雑になる」と、Twitter のチャットで語っている。

VMware ESXi 仮想マシンの暗号化は、攻撃を成功させるための重要な要素であり、ランサムウェアの運用は、より効率的であるだけでなく、運用や交渉を秘匿するために、常にコードを進化させている。

より多くの企業が、サーバーの仮想化に移行する中、ランサムウェア開発者は Windows デバイスに注力するだけでなく、ESXi を標的とした Linux 専用の暗号化ツールを作成すると予想される。そのため、すべてのセキュリティ専門家や、ネットワーク管理者は、Linux サーバーに細心の注意を払い、攻撃の兆候を察知する必要がある。

この記事では、攻撃に成功した後の、身代金交渉などを優位に進めるための、Hive の進化について説明されています。また、2月9日の「Linux 環境を標的とするマルウェア:驚異について VMware が解説」では、VMware が「サイバー犯罪者は、可能な限り少ない労力で最大限の効果を上げるために、Linux ベースの OS を標的としたマルウェアを攻撃ツール・キットに加え、その範囲を劇的に拡大している」と説明しています。2022年は、Linux 標的の攻撃が増えていくと予想されます。

%d bloggers like this: