Luna という Rust ベースのランサムウェアが登場:Windows/Linux/ESXi システムを狙う

New Rust-based Ransomware Family Targets Windows, Linux, and ESXi Systems

2022/07/20 TheHackerNews — Kaspersky のセキュリティ研究者たちは、Rust で書かれた、全く新しいランサムウェアである Luna の詳細を公開した。これは、BlackCat/Hive に続いて、このプログラミング言語を使用する3番目のマルウェアとなる。Luna は、非常にシンプルであり、Windows/Linux/ESXi システム上で動作し、Curve25519/AES を組み合わせて暗号化を行う。

今日のレポートで、Kaspersky は、「Linux と ESXi のサンプルは、同じソースコードを使用してコンパイルされているが、Windows 版とは若干の違いがある」と述べている。

ダークネット・フォーラムにおける Luna の広告によると、このランサムウェアは、ロシア語話者のみが使用することを意図しているという。さらに、バイナリにハードコードされている身代金請求書のスペルミスから、コア開発者はロシア系であると見られている。

研究者たちは、「Luna は、クロスプラットフォームのランサムウェアの傾向を裏付けている。また、Golang/Rust といった、言語のプラットフォームに依存しない性質が、攻撃対象や規模の大きい攻撃/静的解析の回避などを可能にしている」と述べている。

発見されたばかりの Luna は、その活動を厳しく監視されているが、被害者のパターンに関する情報はほとんど無い。そして、ESXi システムを標的にするランサムウェアは、Luna だけではない。

2022年2月に発見された Black Basta は、Windows をセーフモードで起動した後に、サードパーティのエンドポイント検出ソリューションが起動しないという、可能性があることを利用するものである。暗号化の前に Windows システムをセーフモードで起動することで、ランサムウェアは検出されずに、目的のファイルを簡単にロックできるという。

研究者たちは、「ランサムウェアは、依然として現代社会における大きな問題だ。あるファミリーが舞台から降りるとすぐに、他のファミリーがその座を奪う」と述べている。

2022年の最も活発なランサムウェア・ギャングの1つである LockBit は、企業ネットワークへの RDP アクセスを介して、バックアップ・サービスを無効化する。そして、グループ・ポリシーを作成し、実行中のプロセスを終了させ、ランサムウェア・ペイロードを実行する。

Broadcom Software 傘下の Symantec Threat Hunter Team は、「LockBit の成功は、マルウェアの高速暗号化速度/Windows と Linux を標的とする能力/大胆な勧誘活動/知名度の高いターゲットなど、機能と戦術の開発者と、オペレーターが進化を続けていることにも起因している」と 報告書で述べている。

またも、新しいランサムウェアが登場したようです。この Luna は、Rust で書かれたクロスプラットフォーム対応のランサムウェアとのことですが、先日には Hive RaaS が Rust にアップグレードされたというニュースがありました。今回の記事の冒頭で紹介されているように、BlackCat/Hive に続く3番目の Rust ランサムウェアとなりますが、他には Ficker という Malware-as-a-Service もあるようです。ランサムウェアと記述言語の関係については、2021年7月の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」を、ご参照ください。

%d bloggers like this: