Linux 対応のランサムウェア Pay2Key は、エンタープライズサーバー、VMware ESXi 仮想化ホスト、クラウドワークロードを積極的に標的としており、Linux ランサムウェアが単純なファイルロッカーからいかに進化したかを示しています。
元々はイスラエルとブラジルの組織に対する高速で人間が操作する Windows 侵入で知られていた Pay2Key は、Linux 環境を明示的にサポートするランサムウェア・アズ・ア・サービス (RaaS) として再登場しました。
最新の調査では、新しいビルダーに Linux ペイロード オプションが含まれており、アフィリエイトが Windows エンドポイントだけでなく、Linux ベースのインフラストラクチャ専用のロッカー バイナリを生成できるようになったことが示されています。
この転換は、より広いランサムウェアの傾向と一致しています。データとコンピューティング パワー(ますます Linux サーバー、ハイパーバイザー、クラウド プラットフォームに存在する)に従うというものです。
脅威インテリジェンスレポートは、この活動をイラン系のアクターにリンクしており、彼らはオンプレミスのコーポレートネットワークから、金融システム、SAP データベース、ESXi インフラストラクチャを含む重要なワークロードへのターゲティングを拡大しています。
RaaS スタイルのアフィリエイト リクルートとプロフィット シェアリング モデルと組み合わせることで、Pay2Key の Linux ブランチは、高価値インフラストラクチャにヒットできる攻撃者のプールを拡大しています。
Linux バリアントの攻撃方法
Pay2Key Linux ビルドの技術分析では、スケール、安定性、演算子の摩擦を最小限に抑えるために設計された構成駆動型ランサムウェアが示されています。
バイナリはルート権限が必要で、JSON 構成を読み取ることで開始され、これは暗号化するパス、ファイル タイプ、マウント クラスを制御し、攻撃者に何を暗号化するかについて細粒度制御を提供します。
ファイルに触れる前に、マルウェアはサービスを停止してプロセスを強制終了することでホストを弱体化させ、暗号化中の干渉を減らすために SELinux と AppArmor などの保護を無効にします。
また、再起動時にトリガーされる cron ジョブをインストールし、システムがインシデント中に再起動された場合でも暗号化プログラムが再開または再実行されることを保証します。
Pay2Key は /proc/mounts を列挙し、マウントを疑似、読み取り専用、リムーバブル、または標準として分類し、読み取り専用および疑似ファイルシステムをスキップしながら、その他を専用のワーク キューに挿入します。
ランサムウェアは cron 永続性セットアップを作成し、SSH 対向の変更を意図して、ホスト動作の攻撃者制御を安定させます。
ファイルごとの処理中に、重要なコンポーネントのクラッシュを避け、暗号化可能なビジネスデータを最大化するために、ELF/MZ バイナリとゼロ長ファイルを意図的にスキップします。
暗号化は ChaCha20 アルゴリズムを完全モードまたは部分モードで使用し、選択とオフセット境界は構成により駆動され、速度と被害のバランスを取ります。
ファイルごとのキーが生成され、難読化されたメタデータ ブロック内に保存され、攻撃者のキー マテリアルなしでは復旧努力を複雑にします。
サーバー、ESXi、クラウドワークロードへの影響
Pay2Key の Linux バリアントは、現代のエンタープライズを支える正確なシステム(アプリケーション サーバー、仮想化ホスト、クラウドバックアップ ストレージ)にヒットするために最適化されています。
レポートは、1 つの侵害されたハイパーバイザーが数十または数百のゲスト VM 全体でアウトージを引き起こす可能性があるように、ESXi および他の仮想化インフラストラクチャの選択的ターゲティングを強調しています。
パスワードは xxHash32 を使用してハッシュされ、シード 0 で、0x962E0C8F (“pay2key”) および 0xF4625064 (“p2k”) と比較されます。
一方、脅威アクターは構成をチューニングして金融アプリケーション、データベース、重要なサービスを優先し、ビジネスへの影響と身代金のレバレッジを増幅します。
クラウドと DevOps エコシステムもスコープ内にあります。攻撃者は、Kubernetes クラスターとコンテナ化されたワークロードで Linux ランサムウェアを展開するために、設定ミス、過度に特権のあるサービス アカウント、およびCI/CD パイプラインのギャップを悪用しています。
これらの環境は軽量でパフォーマンスに敏感なツールを優先するため、従来の EDR エージェントとシグネチャベースの防御が不足しているか、メモリ内、スクリプト駆動アクティビティに盲目的なことが多いです。
その結果、Pay2Key が Linux ホストへのルートレベルのアクセスを取得すると、大規模な暗号化前に防御者が介入するためのウィンドウは非常に狭いものです。
セキュリティ チームは、もはや Linux を低リスク プラットフォームとして扱うことはできません。Pay2Key の進化は、Linux が現在ファーストクラスのランサムウェア ターゲットであることを示しています。
ハーディングは、アクセス制御の厳格さ、および特に VPN、RDP、リモート管理ゲートウェイ、Pay2Key オペレーターによって頻繁に悪用される管理パネルなど、公開されたサービスへのパッチから始める必要があります。
Linux では、組織は事実の後ろにファイル変更を検出するだけでなく、暗号化前にランサムウェアの実行パスをインターセプトできる目的別コントロールが必要です。
推奨される対策には、サービス アカウントで最小権限を実施し、sudo と SSH の使用を厳しくし、異常なプロセス キルおよびサービス停止パターンを監視し、重要なホスト上の /proc/mounts およびファイルシステム アクティビティをベースライン化することが含まれます。
仮想化およびクラウドワークロードの場合、管理ネットワークをセグメント化し、ESXi およびオーケストレーション API へのアクセスを制限し、バックアップの整合性と復元時間を検証することは、支払いなしで Pay2Key インシデントを生き残るために不可欠です。
翻訳元: https://gbhackers.com/linux-ransomware-pay2key/
