セキュリティ企業のKasperskyは米国時間11月6日、ランサムウェア「RansomEXX」のLinux版が発見されたことを明らかにした。これは、標的型のランサムウェア攻撃に使用されている著名なWindows用ランサムウェアがLinuxに移植された最初のケースになる。
RansomEXXは、比較的新しいランサムウェアで、2020年6月に発見された。
このランサムウェアは、テキサス運輸省、コニカミノルタ、米国の州や地方政府にサービスを提供するTyler Technologies、モントリオールの公共交通機関、そして直近ではブラジルの司法最高裁判所(STJ)などへの攻撃に利用されているとみられている。
RansomEXXは、セキュリティ研究者が「ビッグゲームハンター(大物狩り)」または「人間が操作するランサムウェア」などと呼んでいるもので、これらの呼び名は、システムを復旧するのに時間を掛けることができない一部の企業や政府機関を狙って、巨額な身代金を脅し取ろうとする攻撃グループを指す際に使われている。
これらのグループは、被害企業のネットワークに対するアクセス手段を購入したり、自分たちで防御を破ったりして侵入すると、できる限り多くの内部システムにアクセスを広げた後、最後に手動でランサムウェアのバイナリーを展開し、できる限り多くのインフラを機能不全にしようとする。
しかしこの1年で、これらのグループの手口にパラダイムの転換が起きた。
多くの攻撃グループは、ワークステーションを最初に攻撃しても、身代金を支払わずにシステムを復旧する企業が多く、あまり儲からないことに気づいた。
この数カ月間で、ワークステーションを暗号化する手間をかけずに、社内ネットワークの重要なサーバーだけを標的にするインシデントが増えている。それらのシステムを最初に機能停止に追い込めば、ワークステーションが機能していても、重要なデータにアクセスできず、事業を継続できなくなるためだ。
RansomeEXXを使用しているグループがLinux版を作ったのは、社内システムにWindowsではなくLinuxを使用している企業が多くなっている最近の状況とも合致している。
企業を機能不全にして高い身代金を要求するために、できる限り重要なインフラにアクセスを拡大しようとする攻撃者の観点から見れば、ランサムウェアにLinux版を用意するのは極めて合理的だ。
今後は、ほかの攻撃グループもLinux版のランサムウェアを用意するようになり、RansomeEXXのようなケースが業界全体のトレンドになるかもしれない。
このトレンドは既に始まっている。サイバーセキュリティ企業のEmsisoftによれば、RansomEXXのほかに、「Mespinoza(Pysa)」を使用するグループも、Linux版を開発したという。
Linux版のRansomEXXに関する技術的な詳細については、Kasperskyのレポートを参照してほしい。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
