出典:JLStock(Shutterstock経由)
新たなマルチプラットフォーム型ランサムウェアが、その比較的シンプルなコードにもかかわらず、システムを暗号化する速度の速さで注目を集めています。
その高速化の鍵は、マルウェアが積極的にマルチスレッド処理を利用している点にあり、WindowsおよびLinuxの両システムで複数のファイルを並列で急速に暗号化し、被害者が検知や対応を行う時間をほとんど与えません。
効率化されたランサムウェア攻撃フロー
このマルウェアを「Water Pombero」として追跡しているトレンドマイクロの研究者によると、同マルウェアは4月に米国およびアジアの医療、イベントサービス、テクノロジー分野の組織を標的にしているのを初めて観測しました。その後、Broadcomなど他のベンダーが「Bert」と呼ぶこのマルウェアは、主にヨーロッパ、中東、アフリカで複数の被害者を出しています。
トレンドマイクロの研究者によれば、Bertの厄介な有効性はコードの高度さとはほとんど関係がありません。むしろ、「効率化された攻撃実行と回避」によるものであり、コード自体は特筆すべきものではないと今週のレポートで述べています。
特にBertのLinuxバリアントは、強力かつ迅速に攻撃するよう設計されています。データをロックし、仮想サーバーを停止させて被害者の環境に混乱をもたらすことができます。「Linuxシステム上では、Bertのランサムウェアバリアントは最大50スレッドによる高速暗号化をサポートし、[VMware] ESXi仮想マシンを強制的にシャットダウンして影響を最大化し、復旧作業を妨害します」とトレンドマイクロは指摘しています。
Bertは、サイバー犯罪者が迅速かつ高い影響力を持つランサムウェアキャンペーンで引き続き成功を収めていることの新たな現れです。これは、マルチスレッドまたはハイブリッド暗号化を実装し、システム全体や仮想インフラを非常に短時間でロックダウンできるようにしたランサムウェアの比較的長いリストの最新例です。他にはLockbit 3.0、BlackCat/ALPHAV、Akiraなどがあります。
トレンドマイクロによるBertの分析では、WindowsバリアントがPowerShellローダーや権限昇格メカニズムに大きく依存していることが判明しました。セキュリティベンダーは、マルウェアの初期侵入経路は特定できませんでしたが、システムに侵入するとPowerShellスクリプトがBertのペイロードをロードし、権限を昇格させ、Windows Defenderやファイアウォール、ユーザーアクセス制御などのセキュリティ機能を無効化します。トレンドマイクロは、マルウェアがダウンロード・実行されるIPアドレスがロシアにあることを突き止め、Bertの運用者もロシア人である可能性を示唆しています。
Bertランサムウェアの初期バージョンは、感染したシステムのすべてのドライブをスキャンし、各フォルダに身代金要求メモを配置することから始まりました。その後、暗号化対象ファイルのリストを収集し、配列に格納してから複数のスレッドで暗号化を開始していました。最近のBertはさらに洗練されています。「新バリアントはConcurrentQueueを使用し、各ドライブにDiskWorkerを作成してマルチスレッド暗号化プロセスを改善しています」とトレンドマイクロは述べています。「これにより、ランサムウェアはファイルを発見次第すぐに暗号化を開始でき、旧バージョンのようにファイルパスを配列に格納してから暗号化する必要がなくなりました。」
速度最適化
Windows版とは対照的に、BertのLinux版は速度に最適化されています。最大50スレッドで暗号化をサポートし、システムを中断されることなくロックダウンすることが可能です。コマンドラインパラメータで暗号化対象ディレクトリやスレッド数、サイレントモードの有効化を指定できます。コマンドラインパラメータなしで実行された場合は、VMware ESXiホスト上のすべての仮想マシンを強制的にシャットダウンし、混乱を最大化し復旧を困難にする狙いがあるようです。
トレンドマイクロは、BertのLinuxバリアントとREvilのLinuxバリアントとの類似点を発見したと述べています。また、漏洩したBabukやContiのESXiロッカーのコードを取り入れている可能性もあり、コードの再利用が示唆されます。「Bertランサムウェアグループが示すように、シンプルなツールでも感染に成功することがあります」とトレンドマイクロは述べています。「新興グループは、効果を上げるために複雑な技術を必要とせず、侵入から情報流出、最終的な被害者への圧力まで、確実な道筋さえあれば十分です。」
翻訳元: https://www.darkreading.com/cyber-risk/bert-blitzes-linux-windows-systems