Ransomware-as-a-service(RaaS)のRansomHouseは最近、暗号化ツールをアップグレードし、比較的単純な単一フェーズの線形手法から、より複雑な多層方式へと切り替えました。
実際、このアップグレードにより、より強力な暗号化結果、より高速な処理、そして最新の標的環境における信頼性向上が実現され、暗号化後の交渉において脅威アクターがより強い優位性を得られるようになります。
RansomHouseは2021年12月にデータ恐喝型のサイバー犯罪活動として開始され、その後、攻撃に暗号化ツールを採用し、複数のVMware ESXiハイパーバイザーを一度にロックするための「MrAgent」と呼ばれる自動化ツールを開発しました。
最近では、脅威アクターが日本のEC大手アスクル株式会社に対して複数のランサムウェア・ファミリーを使用したことが報告されました。
Palo Alto Networks Unit 42の研究者による新たなレポートは、最新の暗号化ツールの亜種(「Mario」と命名)を含むRansomHouseのツールセットについて、さらに詳しい情報を明らかにしています。
新しい「Mario」暗号化ツール
RansomHouseの最新の暗号化ツール亜種は、単一パスのファイルデータ変換から、32バイトの主キーと8バイトの副キーという2つの鍵を利用する2段階の変換へと切り替えています。
このアプローチにより暗号化のエントロピーが増加し、部分的なデータ復旧がより困難になります。
出典: Unit 42
2つ目の大きなアップグレードは、8GBを閾値として動的なチャンクサイズを用い、間欠的に暗号化を行う新しいファイル処理戦略の導入です。
Unit 42によると、非線形であること、処理順序を決定するために複雑な数学を用いること、そしてファイルサイズに応じて各ファイルごとに異なる手法を使うことにより、静的解析がより困難になるとしています。
「Mario」におけるもう一つの注目すべきアップグレードは、メモリレイアウトとバッファ構成の改善、および複雑性の向上で、暗号化の各段階や役割ごとに複数の専用バッファが使用されるようになりました。
最後に、アップグレードされた暗号化ツールは、タスク完了のみを宣言していた旧亜種と比べ、ファイル処理に関するより詳細な情報を出力するようになりました。
新しい亜種は引き続きVMファイルを標的とし、暗号化されたファイルを「.emario」拡張子にリネームし、影響を受けたすべてのディレクトリに身代金要求メモ(How To Restore Your Files.txt)を投下します。
出典: Unit 42
Unit 42は、RansomHouseの暗号化アップグレードは憂慮すべきものであり、「ランサムウェア開発における懸念すべき軌道」を示していると結論づけています。これにより復号の難易度が上がり、静的解析やリバースエンジニアリングもより困難になります。
RansomHouseは比較的長く続いているRaaS運用の一つですが、攻撃件数の面では依然として中位層にとどまっています。高度なツールの継続的な開発は、規模拡大よりも効率性と回避に焦点を当てた、計算された戦略を示唆しています。
