7月5~8日:サイバーセキュリティ関連ニュース
新たなランサムウェア「Eldorado」、WindowsやVMWare ESXiの仮想マシンを標的に
BleepingComputer – July 5, 2024
新しいランサムウェア・アズ・ア・サービス(RaaS)「Eldorado」が今年3月に登場し、WindowsとVMWare ESXiを標的に攻撃を実施しているという。
EldoradoはGoベースで、異なる亜種を用いてWindowsとLinux双方のプラットフォームを暗号化できるランサムウェア。
Group-IBの研究者は、開発者からこの暗号化ツールを入手。分析の結果、Eldoradoが独自に開発されたランサムウェアであり、過去に公開されたその他ツールのビルダーソースに依存していないことがわかったという。同ランサムウェアが使用するアルゴリズムはChaCha20で、暗号化されたファイルには「.00000001」という拡張子が追加される。ネットワークシェアがSMBプロトコルを利用して暗号化されることや、復元を防ぐためシャドウコピーが削除されることなども明かされたほか、研究者らは、同ツールが検出や分析を回避するためデフォルトで自己削除する設定になっていることも報告した。またオペレーションに参加したアフィリエイトは攻撃手法もカスタマイズできるようで、例えばWindows上で暗号化するディレクトリを指定したり、ローカルファイルをスキップしたりすることなどができるとのこと。
Group-IBは、Eldoradoがほかのグループのリブランド版ではなく、新しく独立したグループであることを強調。このグループは短期間ですぐにその能力を発揮し、被害者のデータ、評判、事業継続性に大きな損害をもたらしていると述べている。
Malloxランサムウェアの新亜種がLinuxシステムを狙う
Uptycsは、Linuxを標的としたMalloxランサムウェア(別名Fargo、TargetCompany、Mawahelper)の新しい亜種を発見した。同亜種のペイロードは、カスタムのPythonスクリプトを使って標的のシステムに配布されるという。このスクリプトはFlaskフレームワークをベースとしたWebパネルであり、認証情報を得るためにシステムの環境変数を使ってバックエンドデータベースに接続するとされる。
Uptycsの研究者らは、Malloxが特に懸念すべきランサムウェアである理由がこのWebパネルにあると指摘。これは、同パネルを用いることで、攻撃者はMalloxのカスタム亜種の構築や展開の管理に加え、ランサムウェアのダウンロードまでをも行えるようになるため。またUptycsのレポートによると、Malloxが使用する暗号化プロセスには堅牢な暗号化規格であるAES-256-CBCアルゴリズムが採用されており、これにより、攻撃者が持つ復号キーがなければ、被害者がファイルを復号することは非常に困難になるという。幸いにも、同社の研究者はこのランサムウェアの復号ツールを発見したようだが、Malloxの開発者が復号を回避するためにランサムウェアをアップデートする可能性があるため、復号ツールが利用できる期間は短いかもしれない。
このランサムウェアから身を守る方法として、定期的にデータのバックアップをとること、不審な添付ファイルやリンクに注意すること、セキュリティパッチを適用してソフトウェアを最新の状態に保つこと、そして信頼できるセキュリティソリューションを利用することが挙げられる。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠