複雑で多層的な暗号化スキームにより、二重恐喝攻撃の標的となった企業にとって復旧がより困難になる。
RansomHouseのランサムウェア運用に対する最近のアップグレードは、企業の防御担当者に新たな懸念をもたらした。グループの二重恐喝型RaaSモデルに、多層暗号化の更新が導入されたためだ。
クラスター「Jolly Scorpius」としても追跡されているこのランサムウェアギャングは、単純な単段階の暗号化ルーチンから、多層のデュアルキー暗号化アーキテクチャへと移行し、恐喝オペレーションの複雑さを増している。
Palo Alto Networksの脅威インテリジェンスチームが詳述したこの更新により、システム侵害後の復旧のハードルが上がった。この変更は攻撃中のファイルの処理・暗号化方法に影響し、解析を難しくするとともに、身代金を支払わずにデータを回復する防御側の能力を制限する。
Unit42の研究者はブログ投稿で、「単純な直線モデルから、より複雑な多層アプローチへと移行するRansomHouse RaaSの暗号化アップグレードは、ランサムウェア開発における懸念すべき軌道を示している」と述べた。「これは、脅威アクターが有効性を高めるために手法を更新していることを示している。」
研究者はRansomHouseの活動規模を「重大」と表現し、医療、金融、運輸、政府にまたがる少なくとも123の被害者が同グループのデータリークサイトに掲載されているとした。
VMware ESXi向けに調整された暗号化アップグレード
研究者は、RansomHouseが直線的な暗号化モデルから、多段階のデュアルキー方式へ移行していることを確認した。これにより復号や鍵の回収が実質的に難しくなる。彼らは更新された暗号化ツールを「Mario」という名称で追跡しており、新たに導入された多層プロセスのランサムウェア構成要素だと説明している。
Unit42がMarioをリバースエンジニアリングしたところ、アップグレードされたバイナリは32バイトの一次暗号鍵と8バイトの二次暗号鍵の両方を生成し、相互に連動する別々の暗号化パスを実行することが観測された。
仮想インフラ、特にVMware ESXiホストを運用する企業にとって、この動きはより高い影響をもたらす侵害へと舵を切ったことを意味する。RansomHouseのツールはESXiのファイルとバックアップを特に標的にし、「e.mario」拡張子で暗号化するとともに、支払いのための身代金指示を残す。
RansomHouseの展開・永続化ユーティリティであるMrAgentと組み合わさることで、このRaaSフレームワークは運用継続性と復旧の取り組みの双方を損なう、と研究者は指摘した。
RansomHouseは二重恐喝を試みる
暗号技術上の更新に加え、RansomHouseは二重恐喝モデルを活用している。これはデータを暗号化するだけでなく、データを持ち出して公開をちらつかせることで、被害者に支払いを迫るものだ。
この多層的な圧力戦術は、現代のランサムウェア攻撃ではすでに一般的な特徴であり、企業のセキュリティチームにとってインシデント対応のタイムラインや交渉戦略を複雑化させる。
Unit 42の開示では、RansomHouseがモジュール型の攻撃チェーンで運用されていることも明らかになった。そこでは、オペレーター(ツール開発者とリーク管理者)と、攻撃者/アフィリエイト(侵入に成功しランサムウェアを展開する者)が分離されている。このモデルにより、個々のアフィリエイトが入れ替わったり名称変更したりしても、RaaSは拡大・適応できる。
この開示では、静的シグネチャのみに依存する検知戦略は、動的でチャンク化された暗号化と多段階実行を用いるRansmHouseのようなランサムウェアに対して、ますます不十分になっていると指摘した。行動分析、リアルタイム監視、強固なセグメンテーション、定期的なバックアップ検証への投資は引き続き不可欠である。Unit 42は、更新されたRansomHouseツールに関連する侵害指標(ファイルハッシュ、ファイル拡張子、身代金メモのアーティファクト)を公開し、企業に対して影響を受けたエンドポイントおよび仮想化環境全体で関連活動を能動的にハンティングするよう促している。
