編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

「Hive」ランサムウェアの亜種が登場--記述言語がGoからRustに

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2022-07-07 13:08

 Microsoftのセキュリティ研究者らは米国時間7月5日、約1年前に登場した「Hive」ランサムウェアの新たな亜種を発見したと発表した。Hiveの当初の記述言語はGoだったが、この亜種はRustで記述し直されているという。

PCを前に頭を抱える人
提供:perinjo/GETTY

 Hiveは2021年6月に発見されたランサムウェアであり、その2カ月後に米連邦捜査局(FBI)が警告を発出していた。そして同年11月には、欧州の電子機器小売り大手MediaMarktもその被害に遭っていた。また最近になって、サービスとしてのランサムウェア(RaaS:Ransomware-as-a-Service)を用いて「二重脅迫」の手口を使う攻撃者も登場しており、脆弱な「Microsoft Exchange Server」や、脆弱性を抱えたRDPサーバーを標的にしたり、窃取したVPN認証情報を用いたり、フィッシング攻撃を遂行した上でランサムウェアを展開し、価値ある情報を窃取している。

 HiveのRustへの移行は、「BlackCat」という、Rustで記述されたランサムウェアからの教訓を反映するかたちで数カ月前から進められていた。Bleeping Computerによると、Group-IBの研究者らは3月に、Hiveが(「VMware ESXi」サーバーを標的とした攻撃で)Linuxベースの暗号化ツールをRust版に移行していることに気付いたという。これにより、被害者との身代金交渉をセキュリティ研究者らが検出することは困難になる。

 Microsoftの分析は、HiveのRustへの移行がより包括的なものとなっている点を示唆するとともに、3月に指摘された暗号化手法の変更の重要性が裏付けられるものともなっている。

 Microsoft Threat Intelligence Center(MSTIC)は発表の中で「(Hiveの)最新の亜種における変更の数々は実質的なオーバーホールだと言える。注目すべき変更としては、コード全体をまったく新たなプログラミング言語で記述し直したという点や、より複雑な暗号化手法を採用したという点を挙げることができる」と記している。

 「こういった変更が及ぼす影響は、HiveがRaaSのペイロードとなっており、Microsoftの観測でも、DEV-0237に代表されるランサムウェアの大規模アフィリエートによるヘルスケア業界やソフトウェア業界の組織に対する攻撃で用いられている点を考えた場合、かなり広範囲なものとなっている」(Microsoft)

 同社は、Hiveの記述言語をRustに変更する利点として以下を挙げている。

  • メモリーやデータ型、スレッドの安全性がもたらされる。
  • 低水準なリソースをきめ細やかに制御できる。
  • ユーザーフレンドリーな構文が実現されている。
  • 並行動作や並列動作のためのメカニズム群が用意されているため、高速かつ安全にファイルを暗号化できる。
  • 多様な暗号ライブラリーが用意されている。
  • リバースエンジニアリングが比較的難しくなっている。

 Microsoftによると、身代金を要求する新たな文言は、以前のHiveのものとは異なっているという。新たな文言は、被害者に対して「仮想マシン(VM)を削除したり、再インストールしたりしてはいけない。復号できなくなってしまう」、さらに「*.keyファイルを修正したり、リネームしたり、削除したりしてはいけない。そのようなことをすれば、データは復号不能になる」と指示している。*.keyファイルは、Hiveが暗号化したファイルだ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]