Microsoftのセキュリティ研究者らは米国時間7月5日、約1年前に登場した「Hive」ランサムウェアの新たな亜種を発見したと発表した。Hiveの当初の記述言語はGoだったが、この亜種はRustで記述し直されているという。
提供:perinjo/GETTY
Hiveは2021年6月に発見されたランサムウェアであり、その2カ月後に米連邦捜査局(FBI)が警告を発出していた。そして同年11月には、欧州の電子機器小売り大手MediaMarktもその被害に遭っていた。また最近になって、サービスとしてのランサムウェア(RaaS:Ransomware-as-a-Service)を用いて「二重脅迫」の手口を使う攻撃者も登場しており、脆弱な「Microsoft Exchange Server」や、脆弱性を抱えたRDPサーバーを標的にしたり、窃取したVPN認証情報を用いたり、フィッシング攻撃を遂行した上でランサムウェアを展開し、価値ある情報を窃取している。
HiveのRustへの移行は、「BlackCat」という、Rustで記述されたランサムウェアからの教訓を反映するかたちで数カ月前から進められていた。Bleeping Computerによると、Group-IBの研究者らは3月に、Hiveが(「VMware ESXi」サーバーを標的とした攻撃で)Linuxベースの暗号化ツールをRust版に移行していることに気付いたという。これにより、被害者との身代金交渉をセキュリティ研究者らが検出することは困難になる。
Microsoftの分析は、HiveのRustへの移行がより包括的なものとなっている点を示唆するとともに、3月に指摘された暗号化手法の変更の重要性が裏付けられるものともなっている。
Microsoft Threat Intelligence Center(MSTIC)は発表の中で「(Hiveの)最新の亜種における変更の数々は実質的なオーバーホールだと言える。注目すべき変更としては、コード全体をまったく新たなプログラミング言語で記述し直したという点や、より複雑な暗号化手法を採用したという点を挙げることができる」と記している。
「こういった変更が及ぼす影響は、HiveがRaaSのペイロードとなっており、Microsoftの観測でも、DEV-0237に代表されるランサムウェアの大規模アフィリエートによるヘルスケア業界やソフトウェア業界の組織に対する攻撃で用いられている点を考えた場合、かなり広範囲なものとなっている」(Microsoft)
同社は、Hiveの記述言語をRustに変更する利点として以下を挙げている。
- メモリーやデータ型、スレッドの安全性がもたらされる。
- 低水準なリソースをきめ細やかに制御できる。
- ユーザーフレンドリーな構文が実現されている。
- 並行動作や並列動作のためのメカニズム群が用意されているため、高速かつ安全にファイルを暗号化できる。
- 多様な暗号ライブラリーが用意されている。
- リバースエンジニアリングが比較的難しくなっている。
Microsoftによると、身代金を要求する新たな文言は、以前のHiveのものとは異なっているという。新たな文言は、被害者に対して「仮想マシン(VM)を削除したり、再インストールしたりしてはいけない。復号できなくなってしまう」、さらに「*.keyファイルを修正したり、リネームしたり、削除したりしてはいけない。そのようなことをすれば、データは復号不能になる」と指示している。*.keyファイルは、Hiveが暗号化したファイルだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
