Linux 版ランサムウェア Play の新種が登場:VMware ESXi システムを狙っている

New Linux Variant of Play Ransomware Targeting VMware ESXi Systems

2024/07/22 TheHackerNews — VMware ESXi 環境を標的とするように設計された、Play (別名:Balloonfly/PlayCrypt) というランサムウェアの Linux 亜種が、サイバーセキュリティ研究者たちにより発見された。Trend Micro の研究者たちは、7月19日に公開されたレポートの中で、「この動向は、グループの攻撃対象が Linux プラットフォーム全体に広がっている可能性を示唆している。それにより Play は、被害者の拡大と身代金交渉の成功を得ている」と述べている。


2022年6月に登場した Play は、機密データを流出させた後にシステムを暗号化し、復号鍵と引き換えに支払いを要求するという二重の恐喝手口で知られている。米国と豪州が発表した推計によると、2023年10月の時点で 300もの組織が、このランサムウェア・グループの被害にあっている。

Trend Micro による 2024年1~7月の統計によると、被害者数が最も多い国は米国で、カナダ/ドイツ/英国/オランダがこれに続く。

また、この期間に Play ランサムウェアの被害を受けた、上位の業種として挙げられるのは、製造業/専門サービス業/建設業/IT/小売業/金融サービス業/運輸業/メディア/法律サービス業/不動産業などになる。

Trend Micro が分析した Play の Linux 亜種は、IP アドレス (108.61.142[.]190) 上でホストされている RAR アーカイブ・ファイルから得られたものであり、以前の攻撃で利用されたことが確認されている、PsExec/NetScan/WinSCP/WinRAR/Coroxy バックドアなどのツールも含まれている。

同社は,「実際の感染は確認されていないが、現時点で Play ランサムウェア攻撃で使用されている一般的なツールは、この C&C (command-and-control) サーバでホストされている。つまり、Linux の亜種においても同様の TTP (tactics, techniques, and procedures) が採用されているという可能性が示唆される」と述べている。

このランサムウェアのサンプルは、実行時に ESXi 環境で実行されていることを確認してから、VM ディスク/設定/メタデータ・ファイルを含む VM (virtual machine) ファイルを暗号化し、拡張子 “.PLAY” を付加する。そして、その後に、ルート・ディレクトリに身代金要求のメモを置いていく。

さらに分析を進めると、この Play ランサムウェア・グループは、Prolific Puma が提供するサービスとインフラを利用している可能性が高いことが判明した。Prolific Puma とは、マルウェアを配布しながら検知を逃れるための不正なリンク短縮サービスを、他のサイバー犯罪者に提供するツールである。

RDGAs


それは、VexTrio Viper や Revolver Rabbit などの、フィッシング/スパム/マルウェアの拡散に利用され始めているプログラム上の仕組みである。

具体的には、登録ドメイン生成アルゴリズム (RDGA:Registered Domain Generation Algorithm) と呼ばれるものを使用して、新しいドメイン名を作成する。VexTrio Viper や Revolver Rabbit などの脅威アクターたちが、このプログラム・メカニズムを利用して、フィッシング/スパム/マルウェアを拡散するケースが増加している。

たとえば、Revolver Rabbit は、”.bond” トップ・レベル・ドメイン (TLD:top-level domain) に、およそ $1M 以上のコストをかけて 50万以上のドメインを登録し、XLoader (別名:FormBook) スティーラー・マルウェアの、アクティブ/オトリの C2 サーバとして活用されているようだ。

Infoblox は、「このアクターが使用する、最も一般的な RDGA パターンは、単数あるいは複数の辞書語の後に 5桁の数字が続き、各単語または数字は、ダッシュで区切られる。辞書の単語の代わりに、ISO 3166-1 の国コード/完全な国名/年号などが使用されることもある」と最近の分析で指摘している。

RDGA は、従来の DGA よりも、検知や防御の難易度が高い。その理由は、脅威アクターが多くのドメイン名を生成し、一度に、または時間をかけて登録し、犯罪インフラとして使用できるからだ。

Infobloxは、「RDGA のアルゴリズムは脅威アクターの秘密であり、すべてのドメイン名が彼ら自身により登録される。従来の DGA では、マルウェアには発見可能なアルゴリズムが含まれており、大半のドメイン名は登録されなかった。また、DGA がマルウェア・コントローラーへの接続にのみ使用されるのに対し、RDGA は幅広い悪意の活動に使用される」と詳述している。

最新の調査結果は、2つのサイバー犯罪グループによる協業の可能性を示しており、Play ランサムウェアの実行者が Prolific Puma のサービスを通じて、セキュリティ・プロトコルを迂回する手段を講じていることを示唆されている。

Trend Micro は、「ESXi 環境は、ビジネス・オペレーションにおいて重要な役割を担っているため、ランサムウェア攻撃の標的として価値が高い。多数の VM を同時に暗号化する効率性と、VM が保持する貴重なデータは、サイバー犯罪者にとって、ランサムウェアの利点をさらに高めている」と締め括っている。

Play ランサムウェアの Linux 版が登場し、VMware ESXi が標的にされているようです。この Play ですが、ReliaQuest レポートをベースにした、2024/05/01 の 「2024 Q1 のランサムウェア活動調査:LockBit/Black Basta/Play がトップに」では、注意すべき対象として挙げられています。VMware ESXi を利用しているチームは、ご注意ください。よろしければ、Play + Ransomware で検索も、ご参照ください。