AkiraランサムウェアのLinux版がVMware ESXiサーバーを標的に
今年3月に登場したばかりの比較的新しいランサムウェアである「Akira」。これまでは教育、金融、不動産などさまざまな業界のWindowsシステムが標的になっていたが、最近新たにVMware ESXiマシンを暗号化できるLinux版Akiraの存在が明らかになった。この標的範囲の拡大は、最近Akiraグループによってアナウンスされる被害者数の多さに反映されているとBleepingComputerは指摘している。
Akiraランサムウェアとは?
Akiraは、今年3月に活動を開始したとされる新進のランサムウェアオペレーション。その他多数のランサムウェアグループと同様、Akiraも標的組織を侵害してデータを盗んだ上でファイルを暗号化して身代金要求を行うという二重恐喝戦術を採用している。登場以来、被害組織の数は米国だけでも30以上に上るという。なお2017年にも「Akira」というランサムウェアがリリースされていたが、新Akiraとの間に関連はないと考えられている。
Linux版Akiraの登場
Linux版Akiraは、マルウェアアナリスト「rivitna」氏によって初めて発見された。同氏は6月23日付けのツイートにおいて、VirusTotal上のサンプルを共有している。
#Akira #Ransomware for Linuxhttps://t.co/lWVyDpHZQb pic.twitter.com/V5TWb0rcvJ
— rivitna (@rivitna2) June 22, 2023
BleepingComputerによれば、AkiraのLinux版暗号化ツールは「Esxi_Build_Esxi6」というプロジェクト名を有していることから、同ツールが明確にVMware ESXiへの攻撃を想定して作成されたものであることが伺えるという。
コマンドライン引数により、攻撃のカスタマイズが可能に
AkiraのLinux版暗号化ツールは高度な機能を多数備えているわけではないものの、以下に挙げるようないくつかのコマンドライン引数に対応しており、攻撃者はこれを利用して攻撃をカスタマイズすることができるようになっている。
・-p –encryption_path(狙われたファイル/フォルダのパス)
・-s –share_file(狙われたネットワークドライブのパス)
・- n –encryption_percent(暗号化のパーセンテージ)
・–fork(暗号化のチャイルドプロセスの作成)
BleepingComputerは、この中でも特に「- n」パラメータが注目に値するとしている。これは、同パラメータにより、攻撃者は各ファイルのデータのうち何パーセントを暗号化するかを決定できるようになるため。例えばこの値を低く設定すれば、暗号化されるデータ量が減るのでその分早く暗号化を完了できる。
RSA公開鍵と対称鍵暗号アルゴリズムの使用
Cybleのアナリストによれば、AkiraのLinux版暗号化ツールはRSA公開鍵と複数の対称鍵暗号方式(AES、CAMELLIA、IDEA-CB、DESなど)を利用してファイルの暗号化を行うという。復号鍵には、攻撃者の持つRSA秘密鍵がない限りアクセスできない。
なお、暗号化されたファイルが「.akira」という拡張子でリネームされる点や、標的デバイスの各フォルダに「akira_readme.txt」という身代金要求メモ(ランサムノート)が残される点はWindows版Akiraの場合と同様。
Linuxへの対応はランサムウェアグループ界のトレンド
過去数年間で、VMware ESXiサーバーを暗号化するためのLinux版亜種を作成するランサムウェアグループが増えてきている。これは、企業がサーバーに仮想マシンを使用する方向へと移行しつつあることを受けての対応であり、Akiraに限らず今後もさまざまなランサムウェア種がこのトレンドに加わることが予想される。現に最近では、TrigonaランサムウェアのLinux版の存在が報告されていた。
なお、Linux向け暗号化ツールを利用する他のランサムウェアオペレーションとしては、Royal、Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX、Hiveなどが知られている。
(情報源:Bleeping Computer “Linux version of Akira ransomware targets VMware ESXi servers”、Bleeping Computer “Meet Akira — A new ransomware operation targeting the enterprise”)
6月29日:その他の注目ニュース
8Baseランサムウェアによる5月・6月の攻撃急増について、専門家が注意喚起
Security Affairs – Jun 28 2023 15:04
ランサムウェアグループ「8Base」と関連する攻撃が2023年5月から6月にかけて急増しているのを、VMware Carbon Blackの研究者が観測。8Baseは2022年3月から活動するグループで、主に金融、製造、ビジネスサービス、ITなど複数の業界の中小企業を標的にしている。8Baseによるものとされる攻撃は2023年5月に67件観測されており、被害者の多くは米国およびブラジル国内の組織とされる。ランサムウェア攻撃全体でみても、2023年5月の被害者数は436と4月の352と比べて24%増加しているほか、昨年5月と比べると55%も増加している。NCC Groupによれば、この増加の一因として8Baseの攻撃数の多さが挙げられるとのこと。