RTM Locker Ransomware Targets Linux Architecture
2023/04/27 InfoSecurity — Linux システムを標的とする新たなランサムウェアのバイナリが発見されたが、RTM Ransomware-as-a-Service グループに起因するものであることが判明した。Uptycs のセキュリティ研究者たちが、4月26日 (水) に公開したアドバイザリでは、RTM グループが Linux バイナリを作成したのは初めてのことだという、調査結果が共有されている。同社は、「この Locker ランサムウェアは、Linux/NAS/ESXi ホストに感染するものであり、Babuk ランサムウェアから流出したソースコードに影響を受けているようだ」と説明している。
この両者間でのコードの類似点としては、乱数を生成する方法などが挙げられる。また、暗号化するファイルの種類も共通しているという。さらに、どちらも高度な暗号化技術を用いており、暗号化されたファイルの復元には、攻撃者の秘密鍵が必要になっている。つまり、非対称暗号化と、対称暗号化の組み合わせを用いて、ファイルを暗号化していることになるという。
拡張子として Windows/Linux を持つ、暗号化されたファイルの末尾に付加された公開鍵は、ファイルを復号するために読み取られる。ただし、攻撃者の秘密鍵で共有秘密を取得することで、このファイルの復号化は可能になる。このアドバイザリには、「非対称暗号と対称暗号の両方を使用するため、攻撃者が持つ秘密鍵がなければ、暗号化されたファイルの復号化は不可能だ」と記されている。
Uptycs は、この新しいマルウェアについて、VMware ESXi ハイパーバイザーがインストールされた、ESXi ホスト/サーバ/データ・ストレージに特化したものだと述べている。
さらに、Uptycs は、「RTM Locker と Babuk ランサムウェアの間には、いくつかの相違点がある。たとえば、非対称暗号化において、RTM Locker は ChaCha20 を使用しているが、Babuk は sosemanuk を使用している点で、若干の違いがある」と指摘している。
しかし、この現行の執筆時点において、新たなバイナリを技術的に分析したセキュリティ研究者たちは、RTM Locker のイニシャル・アクセス・ベクターのついては不明だと述べている。
Uptycs のアドバイザリには、疑わしいプロセスをスキャンするために、システム防御者が使用できる YARA ルールも含まれている。
Linux システムをターゲットにしながら、このところ進化しているランサムウェアとしては IceFire があるが、先日に SentinelOne のセキュリティ専門家により分析されている。
Linux を標的とする。RTM という RaaS (Ransomware-as-a-Service) が発見されたようです。Linux + Ransomware で検索したところ、2022/09/06 の「Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?」と、2022/09/05 の「Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増」という、気になる記事が見つかりました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.