最も悪名高いランサムウェア配布サービスの一つであるRansomHouseの背後にいるグループは、攻撃の技術的洗練度を大幅に高めました。アナリストによると、サイバー犯罪者は、より複雑なアーキテクチャと拡張された機能を特徴とする更新版の暗号化ツールを導入したとのことです。変更は、ファイル処理アルゴリズムそのものと、その後の解析を妨げるための手法の両方に及んでいます。
RansomHouseは2021年末から活動しており、当初はデータ漏えいに注力していましたが、その後、暗号化ベースの攻撃を広範に展開する方向へと移行しました。このオペレーションは着実に進化しており、VMware ESXiハイパーバイザーを大規模に妨害するためのMrAgentユーティリティの導入も含まれます。直近の注目度の高い事案の一つでは、日本のEC企業アスクルに対して複数のランサムウェア亜種が使用されました。
Palo Alto NetworksのUnit 42チームによる最近のレポートは、新たな暗号化ツールの亜種「Mario」について詳述しています。単一段階の処理に依存していた従来版とは異なり、この更新版は2つの鍵(主鍵となる32バイト鍵と補助の8バイト鍵)を用いる二段階方式を採用しています。この設計により暗号強度が大幅に向上し、データ復旧の試みははるかに困難になります。
再設計されたファイル処理メカニズムにより、追加の防御も提供されます。暗号化ツールは線形スキームではなく、8GBのしきい値と部分暗号化を伴う動的ブロック分割を使用するようになりました。各ファイルのサイズと取り扱いは容量に応じて決まり、複雑な数学的演算によって算出されます。このアプローチは静的解析を難しくし、暗号化ツールの挙動をはるかに予測しにくくします。
メモリ管理モデルも刷新され、暗号化の各段階ごとに別々のバッファが割り当てられるようになりました。これによりコードの複雑性が増し、解析時の検出可能性が低下します。さらに、新バージョンはファイル処理中により詳細な情報を出力する一方、以前のビルドは単純な完了メッセージに限定されていました。
仮想マシンのファイルは依然として攻撃の主要な標的であり、暗号化されると「.emario」拡張子にリネームされます。影響を受けた各ディレクトリには、データへのアクセスを復旧するための手順が記載された身代金要求メモが含まれます。
Unit 42の研究者は、RansomHouse暗号化ツールのこの進化は憂慮すべき兆候だと警告しています。複雑性の増大は復号を妨げるだけでなく、サンプル解析も大幅に困難にしており、規模の拡大よりも効率とステルス性を優先する意図的な戦略を示唆しています。
翻訳元: https://meterpreter.org/level-up-ransomhouse-deploys-the-mario-encryptor-to-crush-esxi-hypervisors/
