出典:Zoonar GmbH(Alamy Stock Photo経由)
新興のランサムウェアサイバー犯罪グループが、独自のファイル暗号化手法を導入しています。同グループのマルウェアのLinux版は、最大100本の暗号化スレッドを並列実行でき、部分暗号化にも対応しています。
Gunraランサムウェアグループは、今年4月にサイバー犯罪の現場に登場しました。Trend Microによると、同グループは、既に活動を停止したContiグループに触発されたWindowsシステム向けの手法を用いていました。盗んだデータをリークサイトで公開していた同グループは、最近Linux版をリリースし、クロスプラットフォームでの事業拡大への関心を示しています。これは本日公開されたブログ記事で明らかになりました。
このLinux版には、ファイルのどの部分を暗号化するかをより細かく制御できる新しい暗号化手法が搭載されています。また、RSAで暗号化された鍵を個別のキーストアファイルに保存するオプションも用意されています、とTrend Microの脅威リサーチャーであるJeffrey Francis Bonaobra氏、Melvin Singwa氏、Emmanuel Panopio氏が投稿で述べています。
「GunraランサムウェアのLinux版は、暗号化に使用するスレッド数を指定するための設定が必要で、その上限は100です」と彼らは記しています。「我々の調査で、Gunraが最大100本の暗号化スレッドを正常に利用できることが確認されました。」
この点が、他のランサムウェアグループのマルチスレッド暗号化のアプローチと異なると、研究者らは述べています。通常、この種の暗号化は被害者のマシンに搭載されたプロセッサ数に基づいて固定されています。また、BERTのような他のランサムウェアもスレッド数のカスタム設定が可能ですが、現時点では最大50スレッドまでしか同時実行できません。
「このGunraのアップデートは、設定可能性とスレッド数の増加という両方の特徴を備えており、強力な新バリアントとなっています」と彼らは記しています。
急速に拡大する脅威
Gunraは、設立直後の5月に病院から40TBものデータを流出させたとされ、一気に悪名を高めました。同グループは世界中の組織を標的としており、すでにブラジル、日本、カナダ、トルコ、韓国、台湾、米国など、さまざまな地域の被害者を出しています。リークサイトによると、標的となった業種も多岐にわたり、製造、法律・コンサルティング、医療、IT、農業分野の被害者が含まれています、と 研究者らは述べています。
当初はWindowsシステムを標的としていましたが、現在ではLinuxマシンにもランサムウェアを展開し、攻撃者に高速かつ柔軟な暗号化を可能にしています、とTrend Microは指摘します。 このバリアントは、暗号化に使用するスレッド数の指定だけでなく、暗号化対象となるファイルパスや拡張子の指定も必要です。例えば「all」と指定すれば、発見されたすべてのファイルが暗号化されます。「それ以外の場合は、カンマ区切りの拡張子リストを処理し、指定された拡張子に一致するファイルのみを暗号化します」と研究者らは述べています。
インストールされると、ランサムウェアはすべての暗号化スレッドが完了するまで自らの終了を防ぐ待機ループを作成します。そして、10ミリ秒ごとに暗号化スレッドがまだ実行中かどうかを確認し、すべてのスレッドが暗号化を終えると実行を終了します、と彼らは付け加えています。
GunraのLinux版は、Windows版と異なり、「身代金要求メモの作成を一切省略し、迅速かつ柔軟なファイル暗号化に専念している」と研究者らは観察しています。
高度なランサムウェアへの対策
ランサムウェアは依然として企業にとって重大な脅威であり、その状況は絶えず変化しています。あるグループが活動を停止する一方で、他のグループがすぐに台頭したり、後を引き継いだりしています。ランサムウェア・アズ・ア・サービス(RaaS)アフィリエイト向けに複数のビジネスモデルを提供するなどの革新も、この分野を活発かつ重要なものにしています。
Gunraが短期間で大きな動きを見せていることから、Trend Microは防御側に対し、同グループを警戒し、被害リスクを抑えるための対策を講じるよう推奨しています。そのためには、「強固な防御体制を構築するために、体系的にリソースを割り当てる包括的なセキュリティ戦略を実施すべきだ」と研究者らは勧めています。
推奨されるベストプラクティスには、資産・データ・デバイス・イベントおよびインシデントログの監査と棚卸し、ハードウェアおよびソフトウェア構成の管理、ネットワークポート・プロトコル・サービスの監視、ファイアウォールやルーターなどネットワークインフラ機器でのセキュリティ設定の有効化、定期的な脆弱性評価の実施などが含まれます。
また、防御側は従業員へのセキュリティスキルの定期的な教育・評価、レッドチーム演習やペネトレーションテストの実施、AIや機械学習を含む高度な検知技術の活用も行うべきだとTrend Microは述べています。
翻訳元: https://www.darkreading.com/threat-intelligence/nimble-gunra-ransomware-linux-variant