RansomHouseは、RaaS(Ransomware as a Service)で提供されるマルウェアです。
数年前から活動が確認されていますが、つい先日も日本の大手企業がターゲットとなり、大きな被害となりました。
すでにRansomHouseの活動は大規模に展開されていますが、いまもなお、その内容は更新を継続しています。
どのような内容なのでしょうか。
- MrAgent
これはRansomHouseの使用する主要ツールの一つです。
攻撃者に被害者の環境への永続的なアクセスを提供し、侵害されたホストの管理を攻撃者に提供します。
これは、ホスト識別子の取得、ホストのIPアドレスの取得、ファイアウォールの無効化、C2サーバーとの通信の確立、暗号化機構の設置、といった工程を実施します。 - Mario
これは暗号化する機能を実行するマルウェアです。
前述のMrAgentによって被害者環境に設置されます。
以前からRansomHouseはMarioを使用してきていますが、現在のMarioは更新されてより強い脅威となっています。
従来のものは対象のファイルを一つのキーで暗号化するような機構になっていたのですが、ここが変更されています。
更新されたMarioは、暗号化のキーを2つ使用します。
対象ファイルは、主鍵と副鍵の両方で暗号化される二要素暗号化方式となったのです。
また、従来は固定サイズのデータの領域を順次暗号化していく方式だったのですが、これが動的サイズ調整によるチャンク処理方式に変更されています。
さらに対象ファイルのサイズによって異なる処理を実施するようにするような機構も搭載されています。
総じて言えることは、実施された暗号化の状態を把握することが極めて困難になったということです。
現在のRansomHouseは、VMwareのESXiを標的環境として動作します。
ESXiのなかには多数のVMが含まれ、RansomHouseはこれらを暗号化します。
通常のドキュメントファイルなどと比較して、VMを構成するファイルのサイズは大きいものとなります。
ともすると単調になってしまうこういった大きなサイズのファイルの暗号化を、このマルウェアでは、これまでよりも複雑な機構で暗号化し、静的な解析での対応をより困難なものとしています。
このマルウェアそのものも注意が必要ですし、こういった戦略は他の脅威アクターの次の変更のための参考情報となってしまうことでしょう。
攻撃者側は継続的な更新を実施しています。
防御側も防御を構成する機構を見直し、対策の改善を検討していく必要があるということに思えます。
From Linear to Complex: An Upgrade in RansomHouse Encryption
https://unit42.paloaltonetworks.com/ransomhouse-encryption-upgrade/
| この記事をシェア |
|
|---|
