Linux版の登場は、Gunraが新たにマルチスレッドおよび部分暗号化機能を備え、クロスプラットフォーム攻撃へと舵を切ったことを示しています。
「Gunra」ランサムウェアファミリーの新たなLinux版が発見されました。このバリアントは高度に設定可能なマルチスレッド機能を備え、攻撃者が最大100件の並列暗号化を実行できるようになっています。
トレンドマイクロの調査によると、すでに医療、製造、IT分野など14の被害者を出しているこの新興脅威グループは、マルチスレッド暗号化、部分ファイル暗号化、RSAキーの個別保存など、重要なアップグレードを施した新たなランサムウェアバリアントを展開しています。
「トレンドマイクロの脅威インテリジェンスデータは、トルコ、台湾、米国、韓国の企業におけるGunraランサムウェアの活動を検知しています」とトレンドマイクロはブログ投稿で述べています。「ランサムウェアの動向を監視した結果、Gunraの背後にいる脅威アクターがLinuxバリアントを展開し、クロスプラットフォーム攻撃への戦略的な動きを示していることが分かりました。」
Gunraランサムウェアは4月に初めて発見され、Windowsシステムを標的としたキャンペーンで悪名高いContiランサムウェアを模倣した手法が使われていました。
Linux版は暗号化機能を強化
Windows版とは異なり、Linux版は高度に設定可能なマルチスレッド機能を備えており、攻撃者は最大100本の同時暗号化スレッドを立ち上げることができます。これは、同様のランサムウェアであるBERTの2倍にあたります。
「GunraランサムウェアのLinuxバリアントは、暗号化に使用するスレッド数を指定する設定が必要で、最大100まで設定できます」とトレンドマイクロは述べています。「他のランサムウェアグループもマルチスレッド暗号化機能を備えていますが、通常は被害者マシンのプロセッサ数に基づき固定されています。」
被害者のファイルはパスや拡張子で選択でき、攻撃者はすべてを再帰的に暗号化することも可能です。「.ENCRT」拡張子が付与されたファイルや、すでに暗号化されているファイルはスキップされます。興味深いことに、Linuxバリアントは身代金要求メモを一切残さず、手がかりをほとんど残しません。
このバリアントは部分暗号化もサポートしており、攻撃者がファイルの一部だけを暗号化して素早く攻撃できるようになっています。「アルゴリズムは、実行時に指定された比率パラメータ(-rまたは–ratio)に基づき部分暗号化をサポートします。-lまたは–limitパラメータは、ファイルのどの程度を暗号化するかを制御します。値が指定されていない場合は、ファイル全体が暗号化されます」とトレンドマイクロは付け加えています。
さらに、このバリアントはRSAで暗号化されたキーの柔軟な保存オプションも提供しています。「-s」または「–store」パラメータを使用すると、ランサムウェアは各ファイルのRSA暗号化データを暗号化済みファイルに追記するのではなく、個別のキーストアファイルに保存します。
Gunraは広範なランサムウェアの流れに追随
トレンドマイクロは、GunraがLinux環境へとシフトしていることを、ランサムウェア業界全体で見られる広範な傾向の一部と指摘しています。多くのランサムウェアグループが「クロスプラットフォーム化を進め、標的範囲を拡大し、潜在的な被害者を増やしている」とトレンドマイクロは述べています。
2022年半ばから2023年初頭にかけて、BlackBasta、Hive、Luna、Clopなど複数のランサムウェアファミリーが、VMware ESXiプラットフォーム専用のLinux用暗号化ツールをリリースしました。
マルチOS環境を標的とすることで、ハイブリッドインフラを持つ企業のリスクが高まっています。トレンドマイクロは、資産管理の強化、設定の堅牢化、システムの迅速なパッチ適用、WindowsおよびLinux双方での強力なエンドポイント検知の有効化を推奨しています。このグループの影響力の拡大は、最近のアメリカン・ホスピタル・ドバイへの侵害でも浮き彫りになりました。Gunraはここで約40TBもの機密データを流出させたとされ、これまでで最大規模の攻撃の一つとなっています。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して、今すぐ始めましょう。