はじめに:RansomHouse RaaSの新たな脅威
Ransomware-as-a-service(RaaS)を運営する脅威グループ「Jolly Scorpius」傘下のRansomHouseが、その暗号化能力を大幅に強化し、サイバー脅威の状況を深刻化させています。従来の線形暗号化から複雑な多層暗号化方式へとアップグレードされており、検出回避と脅迫効果を高めるための技術的洗練度を向上させていることが明らかになりました。
RansomHouseは、データ窃取と暗号化を組み合わせた二重脅迫戦略を採用し、被害者への圧力を最大限に高めています。機密情報を暗号化する前に窃取し、公開をちらつかせることで身代金支払いを強要するこの手口は、2021年12月以降、RansomHouseのデータ漏洩サイトに少なくとも123の被害組織が掲載されていることからも、その大規模な運用がうかがえます。ヘルスケア、金融、交通、政府機関といった主要なセクターが標的とされ、甚大な経済的損失と深刻なデータ侵害を引き起こし、組織への信頼を揺るがしています。
進化する暗号化技術「Mario」
RansomHouseの攻撃インフラは、主に2つのコンポーネントに依存しています。一つはESXiハイパーバイザー全体へのランサムウェア展開を自動化する管理ツール「MrAgent」、もう一つは暗号化エンジン「Mario」です。MrAgentは永続的なコマンド&コントロール接続を確立し、ファイアウォールを無効化し、リモートコマンドを実行します。
一方、MarioはVMDK、OVF、VBK、スナップショット関連の拡張子など、仮想化に特化したファイル形式を標的としてファイル暗号化を実行します。最も注目すべき最近の進展は、Marioの暗号化機能のアップグレードです。以前のバージョンでは、固定サイズのチャンク処理による単純なシングルパス暗号化が用いられていましたが、最新バージョンでは洗練された二要素暗号化スキームが実装されています。
- 二要素暗号化: 32バイトのプライマリ暗号化キーと8バイトのセカンダリ暗号化キーを使用。
- 可変セグメント長: 8GBのサイズ閾値を持つ可変セグメント長を採用。
- 動的チャンクサイズ: 処理順序を決定する複雑な数式を用いた動的なチャンクサイズ設定。
- スパース暗号化: 連続的ではなく特定のファイルオフセットを標的とする。
- 高度なバッファ管理: 静的分析を著しく困難にする高度なバッファ管理と強化されたファイル処理ロジック。
これらの技術的改善は、脅威アクターが意図的に回避能力を強化していることを示しています。非線形ファイル処理によるチャンク処理と二要素暗号化スキームは、防御にとって大きな障壁となります。
組織体制と攻撃プロセス
Jolly Scorpiusは、RaaSを構造化されたビジネスモデルで運営しており、以下の3つの異なる役割が存在します。
- オペレーター: RaaSインフラを維持管理。
- アフィリエイト: 侵入活動を実行。
- 被害者: 攻撃の対象。
この組織フレームワークにより、グループは効率的に運用規模を拡大することが可能です。攻撃者は通常、スピアフィッシングメールや脆弱なシステムの悪用を通じて初期アクセスを獲得します。その後、偵察ツールを使用して被害者ネットワークをマッピングし、特権を昇格させ、持ち出す価値のあるデータを特定します。
RansomHouseの攻撃は、以下の4つの明確なフェーズで構成されます。
- 開発(Development)
- 侵入(Infiltration)
- データ持ち出しと展開(Exfiltration and Deployment)
- 脅迫(Extortion)
サイバーセキュリティ対策への提言
この進化の洗練度は、RansomHouseのオペレーターがこれらの強化を他のランサムウェアにも影響を与える可能性のある実証済みの方法論と見なしていることを示唆しています。ランサムウェアグループがこのような高度な手法を採用するにつれて、組織はエスカレートする脅威に直面しています。
二重脅迫の圧力、インフラを標的とした攻撃、そして強化された暗号化の組み合わせは、危険な脅威プロファイルを作り出します。防御側は、包括的な戦略を導入する必要があります。これには以下が含まれます。
- ネットワークセグメンテーション
- ESXiの強化
- 高度な脅威検出
- オフラインで維持される堅牢なバックアップ戦略
RansomHouseのアップグレードは、急速かつ高度に進化し続ける次世代のランサムウェア脅威に対抗できる、動的で適応性のあるセキュリティ戦略が緊急に必要であることを強く示しています。