Linux環境は最新のエンタープライズインフラストラクチャの基盤であり、重要なサーバと仮想化プラットフォームをホストしています。その重要性にもかかわらず、Linux対応のランサムウェアは公開研究における最も文書化されていない脅威の1つとなっています。
しかし、サイバー犯罪者はこの見落としに急速に適応しています。脅威行為者は、組織が最も依存するコアシステムを破壊することを目的として、自らの兵器庫にLinux機能をますます追加しています。
この進化する脅威環境の典型的な例は、Pay2KeyランサムウェアのLinuxビルド、特に2025年8月後半に初めて野生で検出されたPay2Key I2バリアントです。
このマルウェアは、Linuxアーキテクチャ向けに特別に設計された、高度に構成可能でスケーラブルな攻撃への洗練されたシフトを強調しています。
Pay2Key Linuxバリアントは、安定性と広範な影響力のために設計されています。攻撃サイクルを開始するために、ランサムウェアはルートレベルの権限の実行が必要です。
これらの権限を得ると、マルウェアが何を標的にするべきか、また感染したホスト上でどのように動作すべきかを正確に指定する詳細なJSON設定ファイルに依存します。
ファイルロックが発生する前に、Pay2Keyは円滑で中断のない動作を保証するために、ターゲットマシンの防御を積極的に弱化させます。
実行中のサービスを体系的に停止し、競合するプロセスを終了し、SELinuxやAppArmorなどの組み込みLinuxセキュリティモジュールを完全に無効化します。
被害者のデータをロックする場合、Pay2Keyは非常に効率的なChaCha20暗号化アルゴリズムに依存しています。
ランサムウェアは2つの異なるモードで動作します。フルファイル暗号化または部分的なサンプリング暗号化です。このデュアルモードアプローチは初期のJSON設定によって駆動され、最大限のデータ破壊と高速な実行速度の間を選択することができます。
処理する各ファイルに対して、マルウェアはユニークな暗号化キーを生成し、暗号化ファイルに付加された難読化されたメタデータブロック内に保存します。
この文字列は2つの主な機能を果たします。まず、暗号化中にメタデータキーを導出し、レイアウトを検証するためのコアコンポーネントとして機能します。
第2に、マルウェアが暗号化キーを保存する方法における明らかな論理的欠陥をマスクしようとしています。
暗号化フェーズの後、ランサムウェアは被害者をClearnetポータルに誘導するメモを残し、バックアップとしてI2Pネットワークリンクが提供されます。
興味深いことに、研究者はネットワークコマンド・アンド・コントロール通信またはデータ流出ルーチンの証拠を見つけられず、すべての攻撃統計はローカルで管理されます。
Pay2Key Linuxビルドのような脅威から身を守るには、特別なアプローチが必要です。ルートアクセス権を持つエンクリプタがLinuxファイルシステムのトラバースを開始すると、セキュリティチームが応答する時間枠はほぼ瞬時に崩壊します。
行動検出に依存する従来の防御メカニズムは、しばしば取り返しのつかないデータ損失を防ぐのに遅すぎるタイミングで発動します。
組織は、システムアーキテクチャに予測不可能性を導入することで、暗号化が進む前に実行パスを停止する自動移動目標防御などの予防優先制御にシフトする必要があります。
翻訳元: https://cyberpress.org/pay2key-targets-linux-servers/