トレンドマイクロは、ランサムウェア「LockBit」が侵入時に用いるツール群を追跡調査する中で、2021月10月のアンダーグラウンドフォーラム「RAMP」内でアフィリエイト(攻撃を行う実行犯)候補者に向けた「LockBit Linux-ESXi Locker version 1.0(ESXiサーバを標的とするLinux版LockBit 1.0)」の告知を発見しました。これは、「LockBit」ランサムウェアの背後にいるサイバー犯罪者グループ(LockBitグループ)が、攻撃対象をLinuxホストにまで拡大したことを示しています。トレンドマイクロは10月以降、Linux版LockBit 1.0による実際の攻撃活動を観測しています。
仮想化技術・製品を扱う企業「VMware社」のハイパーバイザ型仮想化ソフトウェア「ESXi」による組織のサーバの管理方法次第では、Linux版LockBit 1.0が被害組織に大きな影響を与える可能性があります。
■ Linux版「LockBit 1.0」ランサムウェアを解析
ESXiサーバを標的とするLinux版LockBit 1.0は、データの暗号化に高度暗号化標準(Advanced Encryption Standard、AES)と楕円曲線暗号(Elliptic-Curve Cryptography、ECC)アルゴリズムを組み合わせて使用します。トレンドマイクロの解析結果から、Linux版LockBit 1.0は、図1に示すパラメータを受け付けることがわかりました。
図1:Linux版LockBit 1.0が受け付けるパラメータ
Linux版LockBit 1.0はログ記録機能を備えており、以下の情報を記録することができます。
- プロセッサ(CPU)情報
- 感染システム内のボリューム
- スキップする仮想マシン
- ファイルの総数
- 仮想マシンの総数
- 暗号化されたファイル
- 暗号化された仮想マシン
- 暗号されたデータのサイズ
- 暗号化に要した時間
さらにLinux版LockBit 1.0には、ESXiサーバ上にホストされた仮想マシンイメージを暗号化するために必要なコマンドも含まれています(表1)。
| コマンド | 説明 |
| vm-support –listvms | 登録済みで実行中のすべての仮想マシンのリストを取得する |
| esxcli vm process list | 実行中のすべての仮想マシンのリストを取得する |
| esxcli vm process kill –type force –world-id | リストから仮想マシンをパワーオフする |
| esxcli storage filesystem list | データストレージのステータスを確認する |
| /sbin/vmdumper %d suspend_v | 仮想マシンを一時停止させる |
| vim-cmd hostsvc/enable_ssh | SSH接続を有効にする |
| vim-cmd hostsvc/autostartmanager/enable_autostart false | 自動起動を無効にする |
| vim-cmd hostsvc/hostsummary grep cpuModel | ESXiサーバのCPUモデルを決定する |
表1:ESXiサーバ上にホストされた仮想マシンイメージを暗号化するためのコマンド
図2に示す身代金要求メッセージ(ランサムノート)には、LockBitの攻撃活動の特徴が記されています。このランサムノートは、Windows版LockBit 2.0が持つ最速の暗号化機能の宣伝から始まり、窃取した情報の公開先リークサイトのリスト、そして重要な企業データへのアクセス権と引き換えに「数百万ドル(数億円)」を支払うと記された「アフィリエイト募集(内部犯行による協力者の募集)」の広告で締めくくられています(図3)。
図2:Linux版LockBit 1.0のランサムノート
LockBitグループの連絡先やリークサイトのリスト、身代金の支払いを促す文言などが記されている
図3:Linux版LockBit 1.0のランサムノート
アフィリエイトを募集する内容が記されている
概してLockBitグループは、標的組織が身代金の支払要求に応じない場合、窃取したデータをリークサイト上で暴露すると脅迫します。
図4:Windows版LockBit 2.0のリークサイトの例
■ Linux版LockBit 1.0がもたらす影響
Linux版LockBit 1.0がリリースされたことは、暴露型ランサムウェアグループがESXiサーバなどのLinuxホストを狙って暗号化する方向に進んでいることと一致します。通常ESXiサーバには複数の仮想マシンが配置されているほか、組織の重要なデータやサービスが格納されています。このためランサムウェアによってESXiサーバが暗号化された場合、被害組織は大きな影響を受ける可能性があります。このような脅威動向は、REvilやDarkSideなどの暴露型ランサムウェアファミリを皮切りに行われています。
■ セキュリティに関する推奨事項
ESXiは組織にサーバの運用管理を効率化する方法を提供します。ただしランサムウェアグループは、組織がESXiなどのプラットフォームに移行したことを自身の攻撃活動にも反映させています。Linux版LockBit 1.0が開発されたことで、Linuxホストの中でも特にESXiプラットフォームを標的とするランサムウェアファミリのリストにLockBitが追加されました。
Linux版ランサムウェアは通常検出が困難ですが、セキュリティのベストプラクティスを実践することで、攻撃が成功する可能性を最小限に抑えることができます。LockBitの場合、システムを最新の状態に保つことで、侵入を防ぐことができます。これは、LockBitグループが脆弱なサーバから窃取された認証情報や、アンダーグラウンド内でサイバー犯罪者が取引している認証情報を不正アクセスに用いることで知られているからです。同様にVMware社からもESXiのセキュリティを強化するための推奨事項が提供されています。
■ トレンドマイクロの対策
法人組織は、以下のベストプラクティスを実践することで、ランサムウェアのリスクを軽減することができます。
- クロスレイヤでの検知・対処を可能にするセキュリティソリューションを導入すること。「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
- 予防対策や復旧時に備えた基本的対策指針を策定すること。インシデント対応(IR)に向けた基本的対策指針やフレームワークは、組織がさまざまなサイバー攻撃に備えるための対応計画を立てる上で役立ちます。
- 攻撃シミュレーション演習を実施すること。実際に起こりうるサイバー攻撃のシミュレーションを従業員に体験させること。これにより意思決定者、セキュリティ担当者、インシデント対応チームは潜在的なセキュリティ上の弱点やサイバー攻撃を特定し、事前に準備・対策を講じることができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Analysis and Impact of LockBit Ransomware’s First Linux and VMware ESXi Variant」
by Junestherry Dela Cruz
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
