研究者たちは、01flipと呼ばれる新たなランサムウェアを特定した。これは完全にRustで記述されたクロスプラットフォームの脅威であり、アジア太平洋地域の重要インフラを標的とした攻撃で展開されている。
このランサムウェアの被害者には、「…東南アジアの重要インフラを担う組織」が含まれていたと、Palo Alto Networks Unit 42の研究者は述べている。
01flipランサムウェア攻撃の構造
2025年4月以降、脅威アクターはインターネットに公開された旧式アプリケーションの脆弱性を悪用して初期侵入を行い、その侵入口の1つとしてZimbra Serverが確認された。
アクセスを確立した後、攻撃者はSliverポストエクスプロイトフレームワークのLinux版を展開し、それを用いて内部偵察、認証情報の窃取、後続活動のための環境マッピングを実施した。
このフェーズでは、自動スキャンや機会的な悪用ではなく、明らかに意図的で手動操作による活動の兆候が見られ、攻撃者がツールを慎重に配置し、時間をかけてアクセスを拡大していったことが示されている。
5月下旬には、複数の01flipランサムウェアバイナリがWindowsとLinuxの両方のシステムに手動で配布され、アクセス確立と準備段階から、広範な暗号化と金銭化への移行が計画的に行われたことが示された。
01flipの暗号化と回避手法
実行されると、01flipは影響を最大化しつつ復旧を困難にするよう設計された、体系的かつ段階的な暗号化プロセスを開始する。
ランサムウェアはAからZまでのすべての利用可能なドライブを順に列挙し、書き込み可能なあらゆるディレクトリにRECOVER-YOUR-FILE.TXTという名前の身代金メモを配置することで、被害者がどこを閲覧しても恐喝メッセージに遭遇するようにしている。
標的となるファイルはCBCモードのAES-128で暗号化され、各暗号化セッションは一意の鍵で保護される。この鍵自体はRSA-2048で暗号化されるため、攻撃者の秘密鍵にアクセスしない限り復号は事実上不可能となる。
暗号化されたファイルはORIGINAL_FILENAME.UNIQUE_ID.(0 or 1).01flipという一貫したパターンでリネームされ、オペレーターが感染状況を追跡しやすくすると同時に、被害者に対して侵害が成功したことを示す役割も果たす。
ステルス性を維持し検知を遅らせるため、01flipは一般的なランサムウェアではあまり見られない複数の回避技術を組み込んでいる。
マルウェアはRustで記述されており、通常のOS動作に紛れ込むような低レベルAPIコールに依存しているため、セキュリティツールが悪意ある活動を見分けにくくなっている。
身代金メッセージ、ファイル拡張子、埋め込まれた暗号素材などの機微な文字列は、実行時にのみデコードされるため、静的解析の有効性が制限される。
マルウェアには解析対策チェックも含まれており、サンドボックス環境を検出すると、自身が解析されていると判断して暗号化処理を中止する。
これらの手法は実際に効果を発揮しており、Linux版はVirusTotal上でほぼ3カ月間検知を回避していたことから、その新規性と実環境での秘匿性の高さが浮き彫りになった。
クロスプラットフォーム型ランサムウェアリスクの軽減
01flipのような標的型ランサムウェアキャンペーンは、意図的な侵入経路、手動操作による活動、クロスプラットフォームのツール群に依存して影響を最大化する。
セキュリティチームは、初期アクセスの機会を減らし、攻撃者の活動を早期に検知し、横移動や大規模な暗号化の実行能力を制限することに注力すべきである。
- パッチ適用とインターネット公開システムの堅牢化を行い、既知の悪用済み脆弱性を優先的に対処し、露出している攻撃面を削減する。
- 監視を強化し、異常なC2トラフィック、不審なビーコン通信、ポストエクスプロイトツールなど、Sliver関連の活動を検出・是正する。
- WindowsおよびLinux環境全体でEDRのカバレッジを拡大・標準化し、ランサムウェア、認証情報の悪用、横移動を検知する。
- MFAの必須化、管理者権限の制限、認証情報ダンピングや権限昇格の監視などにより、強固なアイデンティティ管理を徹底する。
- ネットワークセグメンテーション、リモート管理ツールの制御された利用、東西トラフィックの監視によって横移動を制限する。
- 大量のファイル列挙、不審なRustバイナリ、.01flip拡張子による大規模なファイル名変更など、暗号化前およびランサムウェア特有の挙動を検知する。
- 改ざん不可能なバックアップ、検証済みの復旧手順、クロスプラットフォームのランサムウェア対応計画を整備し、復旧体制を強化する。
これらの対策を組み合わせることで、WindowsおよびLinux環境全体のランサムウェア耐性が向上する。
攻撃者はどのようにランサムウェアを近代化しているか
01flipキャンペーンは、ランサムウェア開発におけるより広範な変化を浮き彫りにしている。攻撃者はモダンなプログラミング言語を採用し、複数のOS上で安定して動作するマルウェアを構築しているのだ。
Rustはパフォーマンス、メモリ安全性、移植性に優れており、検知機会を減らしつつ攻撃範囲を拡大しようとする脅威アクターにとって特に魅力的な選択肢となっている。
クロスプラットフォームのツール群や回避技術が成熟し続ける中で、セキュリティチームはもはやプラットフォーム固有の防御やレガシーな制御だけに頼ることはできない。
すべての環境において一貫した可視性、タイムリーなパッチ適用、効果的な検知能力を構築することがますます重要になっており、01flipのようなキャンペーンは、攻撃者がすでにそのレベルの柔軟性を持って活動していることを示している。
攻撃者がシステム間を自由に行き来できる状況では、ゼロトラストが継続的な検証を強制することで、再びコントロールを取り戻す助けとなる。
翻訳元: https://www.esecurityplanet.com/threats/rust-based-01flip-ransomware-hits-windows-and-linux/
