ランサムウェア
ESXiサーバを狙うLinuxベースの新型ランサムウェア「Cheerscrypt」を解析
Linux上で動く新型ランサムウェア「Cheerscrypt」は、過去にリークされた別のランサムウェア「Babuk」のソースコードを元に作られていることが、トレンドマイクロによる最近の調査から判明しました。
Linux上で動く新型ランサムウェア「Cheerscrypt」は、過去にリークされた別のランサムウェア「Babuk」のソースコードを元に作られていることが、トレンドマイクロによる最近の調査から判明しました。このCheerscryptは、仮想マシン管理ツール「ESXi」のサーバを標的とした複数の攻撃から確認されたランサムウェアです。そのソースコードを解析したところ、ESXiサーバを狙うLinux版のBabukとの間に類似点が見られました。比較検証により、Cheerscryptのソースコードは、基本的にBabukを流用しながらも、当該ランサムウェアによる攻撃の目的に沿う形で改変されていることが判明しました。
本ブログ記事では、Cheerscryptによる攻撃の基本的な仕組みや、ソースコードを解析した結果について、これまでに得られている情報をもとに報告します。
トレンドマイクロではここ2、3週間の間、仮想マシン機能を提供する「VMware ESXi」サーバ(複数の仮想マシンを作成・起動し、さらにハードドライブも共有可能なベアメタル型のハイパーバイザ)を標的とするLinuxベースのランサムウェア攻撃を複数回に渡って観測しました。こうした中、企業においてVMware関連のファイルを管理するESXiサーバを標的とする、新しいランサムウェアファミリー「Cheerscrypt」の存在が確認されました。
また、ESXiサーバは、多くの端末や環境に効率よくランサムウェアを拡散させる中継点となるため、これまでにもLockBitやHive、RansomEXXなどよく知られたランサムウェア攻撃の標的とされてきました。
感染の流れ
当該ランサムウェアは、起動時の引数として、暗号化するファイルが含まれるパスを受け取り、これをもとに後続の感染処理を実行します。
起動後、本ランサムウェアは、下記に示すESXCLIコマンドを内部で発行して、起動中のVMプロセスを停止します。
VMプロセスを停止する目的は、当該ランサムウェアによって、VMware関連のファイルを暗号化して上書きできるようにするためです。
他の悪名高いランサムウェファミリと同様、Cheerscryptも、二重恐喝の手口を用いて被害者に身代金を支払わせるように追い込みます。図12に、Cheerscryptのランサムノート(脅迫メッセージ)を示します。
当該ランサムウェアは、暗号化対象のファイルに対して拡張子「.Cheers」を付与する形でリネームします。また、リネーム処理が成功した場合にのみ、暗号化処理に入ります。そのため、対象ファイルをリネームする権限が無い場合、後続の暗号化処理は行いません。
暗号化対象となった各ディレクトリには、「How to Restore Your Files.txt」のファイル名でランサムノートが作成されます。また、ディレクトリ内で暗号化対象となるファイルは、VMware関連ファイルやログファイルなど、下記拡張子を持つものに限られます。
- .log
- .vmdk
- .vmem
- .vswp
- .vmsn
暗号化の処理が成功すると、下記のような実行結果がコンソール画面に表示されます。
暗号化アルゴリズム
Cheerscryptの実行ファイルには、攻撃者側で保有する秘密鍵と対を成す公開鍵のデータが埋め込まれています。また、標的サーバ内にあるファイルの暗号化には、ストリーム暗号方式「SOSEMANUK」を、SOSEMANUKに必要な鍵の生成には、鍵交換アルゴリズム「ECDH」を使用します。具体的な流れとして、まず、暗号化対象のファイル毎に、標的の端末上でLinuxの疑似乱数発生器「/dev/urandom」を使用してECDHの公開鍵と秘密鍵を生成します。次に、ECDHで生成した秘密鍵と、実行ファイルにもともと埋め込まれていた方の公開鍵を使用して、SOSEMANUKに必要な鍵を生成します。SOSEMANUKによって対象ファイルを暗号化した後、さらに、先に生成したECDHの公開鍵をファイル末尾に付与します。
上記処理の結果としてECDHの秘密鍵はどこにも保存されないため、被害を受けた側では、実行ファイルに埋め込まれていた公開鍵や暗号化後に付与されたECDHの公開鍵を使用してもSOSEMANUKの鍵を再度生成することはできません。従って、冒頭で述べた、攻撃者側で保有する秘密鍵が分からない限り暗号化されたファイルを復号することはできません。図5に、一連の暗号化に関わるフローを示します。
新しい発見:CheerscryptとBabukの繋がり
Cheerscryptでは、ファイルをリネームした後で暗号化を行いますが、ESXiサーバを攻撃するランサムウェア「Babuk」では、ファイルを暗号化した後でリネームする作りとなっています。図6に、ESXiサーバを攻撃するBabukの亜種として過去にリークされたソースコードを、図7に、Cheerscryptのソースコードを示します。両図より、Cheerscryptは、Babukのソースコードを流用して作られたことが見て取れます。Babukの運用者は、目的がすでに果たされたとして活動の停止を宣言しましたが、ソースコードはこのように生き続け、他の攻撃グループによる新しいランサムウェア開発にまで取り込まれている実態がうかがえます。
結論
ESXiは、企業や組織のサーバを仮想化する手段として広く利用されています。そのため、ランサムウェア攻撃の標的として狙われる傾向にあります。さらに、先にも述べた通り、多くの機器や環境にランサムウェアを素早く拡散できるという利点があることから、名の知れたサイバー犯罪グループは、ESXiサーバの攻撃を伴う作戦を好んで用いてきました。攻撃者は、金銭的な利益を得るため、マルウェアの更改を続け、可能な限り多くのシステムやプラットフォームに侵入しようと画策するでしょう。企業や組織は、セキュリティ対策を検討する際に上記の点について考慮することを推奨します。
推奨事項
近代型マルウェアなどによって絶えず変化し続ける脅威に対処するために、企業や組織では、確固としたセキュリティ対策を先進的に打ち出すことが重要です。今回の記事で挙げたBubakやCheerscryptなど、類似する複数の攻撃からシステムを守る上では、個々の要求に応じてリソースをシステム的に割り当てるセキュリティ・フレームワークが有効です。
企業や組織がサイバーセキュリティ戦略を策定する際は、「Center of Internet Security」や「National Institute of Standards and Technology」などのセキュリティ・フレームワークを取り込むことを推奨します。それにより、企業や組織のセキュリティ対策チームでは、システム上のリスクを緩和し、攻撃に晒される局面をさらに小さく抑え込むことが可能になるでしょう。また、各フレームワークのベストプラクティスを導入することにより、独自にセキュリティ方針を確立するよりも、時間や労力を削減できる効果が見込めます。企業や組織は、これらのフレームワークを通して、優先的に実施すべきセキュリティ対策を把握し、さらに、全体的な計画を見据えることが可能になるでしょう。
参考記事:
• 「New Linux-Based Ransomware Cheerscrypt Targeting ESXi Devices Linked to Leaked Babuk Source Code」
By: Arianne Dela Cruz, Byron Gelera, McJustine De Guzman, Warren Sto.Tomas
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)