RansomHouse RaaS、データ窃取と暗号化で二重恐喝を強化

脅威グループ「Jolly Scorpius」が運営するRansomHouse（Ransomware-as-a-Service：RaaS）は、暗号化機能を大幅に強化しており、脅威環境における重大なエスカレーションを示しています。

RansomHouseのバイナリに関する最近の分析は明らかに、基本的な線形暗号化から複雑な多層暗号化手法への高度なアップグレードが行われたことを示しています。これは、ランサムウェア運用者が検知回避と恐喝の効果向上のために、技術的高度化を継続的に進めていることを示すものです。

RansomHouseのオペレーションは、データ窃取と暗号化を組み合わせた二重恐喝戦略を採用し、被害者への圧力を最大化しています。

この手法では、暗号化の前に機密情報を盗み出し、その後に公開すると脅して身代金の支払いを強要します。

その活動規模は大きく、2021年12月以降、RansomHouseのデータリークサイトには少なくとも123の被害者が記録されています。

同グループは医療、金融、運輸、政府などの重要セクターを混乱させ、多額の金銭的損失と深刻なデータ侵害を引き起こし、影響を受けた組織に対する社会的信頼を損なってきました。

Jolly Scorpiusは、3つの明確な役割からなる構造化されたビジネスモデルを通じてRansomHouseを運営しています。すなわち、RaaSインフラを維持するオペレーター、侵入を実行するアフィリエイト、そして被害者です。

この組織的枠組みにより、同グループは効率的に活動を拡大できます。攻撃者は通常、スピアフィッシングメールや脆弱なシステムの悪用によって初期アクセスを獲得し、その後、偵察ツールを用いて被害者ネットワークをマッピングし、権限昇格を行い、持ち出し対象となる価値の高いデータを特定します。

RansomHouse、攻撃戦略を強化

同グループは、VMware ESXiインフラを標的にすることで悪名を得ており、攻撃者が数十〜数百の仮想マシンを同時に暗号化できるため、運用上の混乱を最大化できます。

RansomHouseの攻撃チェーンは、開発、侵入、持ち出しと展開、恐喝の4つの明確なフェーズで構成されます。

運用インフラは主に2つのコンポーネントに依存しています。ESXiハイパーバイザー全体へのランサムウェア展開を自動化する管理ツール「MrAgent」と、暗号化エンジン「Mario」です。

MrAgentは永続的なコマンド＆コントロール接続を確立し、ファイアウォールを無効化し、リモートコマンドを実行します。一方、MarioはVMDK、OVF、VBK、スナップショット関連の拡張子など、仮想化特有のファイル形式を標的にしてファイル暗号化を実行します。

直近で最も重要な進展は、Marioの暗号化アップグレードです。元のバージョンは、固定サイズのチャンク処理による単純な1回通しの暗号化を採用していました。

アップグレード版は、一次および二次の暗号化キーの両方を用いる高度な二要素暗号化方式を実装し、復号の難易度を大幅に高めています。

この強化には、8GBのサイズ閾値を伴う可変セグメント長、複雑な数式によって処理順序が決定される動的チャンクサイズ、そして連続処理ではなく特定のファイルオフセットを狙うスパース暗号化が含まれます。

アップグレード版はまた、高度なバッファ管理と強化されたファイル処理ロジックを採用しており、静的解析を著しく困難にしています。

これらの技術的改善は、脅威アクターが意図的に回避能力を強化していることを示しています。非線形のファイル処理を伴うチャンク処理と二要素暗号化方式は、重要な防御上の障壁となります。

この進化の高度さは、RansomHouseの運用者がこれらの強化を実証済みの手法と見なしており、他のランサムウェア亜種にも影響を与える可能性が高いことを示唆しています。

Marioはランダム値を用いて、32バイトの一次暗号化キーと8バイトの二次暗号化キーを生成します。

ランサムウェアグループがこれらの高度な手法を採用するにつれ、組織が直面する脅威は増大しています。二重恐喝による圧力、インフラを狙った攻撃、強化された暗号化の組み合わせは、危険性の高い脅威プロファイルを形成します。

防御側は、ネットワークセグメンテーション、ESXiのハードニング、高度な脅威検知、オフラインで維持される堅牢なバックアップ戦略など、包括的な対策を実装する必要があります。

RansomHouseのアップグレードは、急速かつ高度に進化し続ける次世代ランサムウェアの脅威に対抗できる、動的で適応的なセキュリティ戦略が緊急に必要であることを浮き彫りにしています。