最もよく知られたランサムウェア配布サービスの一つであるRansomHouseの背後にいるグループが、攻撃の技術的能力を強化しました。専門家によると、サイバー犯罪者は更新された暗号化ツールを武器庫に追加しており、より複雑なアーキテクチャと拡張された機能を備えています。
変更はファイル処理アルゴリズムと、その後の解析を困難にする手法の両方に及びました。RansomHouseは2021年末から活動しており、当初はデータ漏えいを行い、その後攻撃でランサムウェアを積極的に使用するようになりました。
このサービスは急速に発展し、VMware ESXiハイパーバイザーを一括でロックするためのユーティリティMrAgentのリリースも含まれます。最近知られているインシデントの一つでは、日本のEC企業Askulに対して複数のランサムウェア亜種が使用されました。
最近のレポートで、Palo Alto NetworksのUnit 42は「Mario」と呼ばれる新しいランサムウェア亜種について説明しています。単一フェーズ処理を用いていた以前のバージョンとは異なり、更新版では2つの鍵を用いる2段階アプローチが採用されています。すなわち、32バイトの主鍵と8バイトの副鍵です。
これにより暗号化の強度が大幅に高まり、データ復旧の試みがより困難になります。
さらに、再設計されたファイル処理メカニズムによって追加の保護が提供されます。線形スキームの代わりに、8GBの閾値と部分暗号化を伴う動的ブロック分割が使用されます。
各ファイルのサイズと処理方法はそのファイルサイズに依存し、複雑な数学的演算を用いて算出されます。このアプローチは静的解析を困難にし、暗号化プログラムの挙動をより予測しにくくします。
RAM管理構造も変更され、現在は暗号化の各フェーズごとに別々のバッファが使用されます。これによりコードの複雑性が増し、解析時に検出される可能性が低下します。さらに、新バージョンはファイル処理中により詳細な情報を提供する一方、以前は作業完了を知らせるメッセージにとどまっていました。
暗号化後に拡張子「.emario」が付与される仮想マシンのファイルは、引き続き攻撃の標的となっています。影響を受けた各ディレクトリには、データへのアクセスを復元する方法に関する手順(身代金要求メモ)が残されます。
Unit 42の専門家は、RansomHouseランサムウェアのこの進化は警鐘だと強調しています。複雑性の増大は復号を妨げ、サンプル解析を大幅に困難にしており、規模ではなく効率と秘匿性に焦点を当てた、よく練られた戦略を示唆しています。