Rustで記述された新たなランサムウェア「01flip」が、アジア太平洋地域の組織を標的とした攻撃で目立って出現し始めている。Palo Alto Networks の Unit 42 によると、これまでのところ被害は限定的な数の標的にとどまっているものの、その中には東南アジアの重要インフラ関連組織も含まれているという。
研究者らはこのキャンペーンを CL-CRI-1036 として追跡しており、脅威アクターは主に金銭目的で活動していると評価している。攻撃は完全な自動化ではなく、人手によるオペレーションに大きく依存しているという。ある事例では、侵入直後に、被害者のデータを公開する可能性をほのめかすメッセージがダークウェブフォーラムに投稿された。また別の専門フォーラムへの投稿では、侵害は Zimbra サーバーの侵害に起因するとされており、侵入経路の一端を示唆している。
初期侵入は、インターネットに公開されたアプリケーションに存在する、CVE-2019-11580 を含むレガシーな脆弱性を悪用しようとする試みから始まったと考えられている。攻撃者はその後、Linux 版の Sliver を展開した。これは、侵害環境内でのコマンド&コントロールや横方向移動に一般的に用いられるクロスプラットフォームのフレームワークである。その後、01flip はインフラ全体に拡散し、Windows と Linux の両方のシステム上で実行されたが、より広範な展開を可能にした正確なメカニズムについては依然として不明な点が多い。
01flip の中核機能は典型的なランサムウェアのそれであるが、Rust で実装されていることにより、静的解析および動的解析が大幅に困難になっている。このマルウェアは利用可能なドライブを列挙し、書き込み可能なディレクトリに身代金メモを作成し、AES-128-CBC を用いてファイルを暗号化し、その暗号鍵を RSA-2048 で保護し、暗号化されたデータに .01flip 拡張子を付与し、自身の活動の痕跡を消去しようと試みる。
検出を回避するため、このマルウェアは低レベルのシステムコールと文字列難読化を用いている。いくつかのサンプルでは、単純なサンドボックス検出機能も確認されており、特定のファイル名が検出された場合には暗号化処理をスキップする。
確認された事例では、要求された身代金は 1 ビットコイン(報告時点で約 9 万ドル)に設定されていた。現時点では、このキャンペーンには、大規模なランサムウェア作戦で一般的な二重恐喝用インフラは備わっていない。興味深い点として、除外対象のファイル拡張子リストの中に「lockbit」という文字列が含まれており、LockBit エコシステムとの何らかの関連性を示唆しているように見える。しかし、直接的なつながりを裏付けるさらなる証拠は今のところ確認されていない。
