はじめに
ランサムウェア・アズ・ア・サービス(RaaS)の「RansomHouse」が、その暗号化ツールを大幅にアップグレードしたことが明らかになりました。これまでの比較的シンプルな単層線形手法から、より複雑な多層処理へと移行しており、これにより暗号化の強度、処理速度、および現代のターゲット環境での信頼性が向上し、攻撃者が身代金交渉においてより強力な立場を得る可能性が高まっています。
RansomHouseは2021年12月にデータ恐喝を行うサイバー犯罪組織として登場し、その後攻撃に暗号化ツールを採用し、「MrAgent」と呼ばれるVMware ESXiハイパーバイザーを一度に複数ロックする自動ツールを開発しました。最近では、日本のeコマース大手であるAskul Corporationに対して複数のランサムウェアファミリーを使用したことが報じられています。
新暗号化ツール「Mario」の登場
Palo Alto Networks Unit 42の研究者による新たなレポートでは、RansomHouseのツールセット、特に「Mario」と名付けられた最新の暗号化ツールに焦点を当てています。
「Mario」の技術的詳細
「Mario」の主なアップグレード点は以下の通りです。
- 2段階変換方式への移行: ファイルデータの単一パス変換から、32バイトのプライマリキーと8バイトのセカンダリキーという2つのキーを利用した2段階変換へと変更されました。これにより、暗号化のエントロピーが増大し、部分的なデータ復旧がより困難になります。
- 動的なファイル処理戦略: 8GBの閾値で動的なチャンクサイズを適用し、断続的な暗号化を行う新しいファイル処理戦略が導入されました。Unit 42によると、この非線形性、処理順序を決定するための複雑な数学の使用、およびファイルサイズに基づいた異なるアプローチにより、静的分析がより困難になります。
- メモリ構造の最適化: メモリレイアウトとバッファ編成が改善され、複雑性が増し、各暗号化ステージや役割に複数の専用バッファが使用されるようになりました。
- 詳細な処理情報の出力: 以前のバージョンがタスク完了のみを宣言していたのに対し、アップグレードされた暗号化ツールはファイル処理に関するより詳細な情報を出力します。
この新しいバージョンも引き続きVMファイルを標的とし、暗号化されたファイルの名前を「.emario」拡張子に変更し、影響を受けるすべてのディレクトリに身代金要求メモ(How To Restore Your Files.txt)をドロップします。
影響と今後の展望
Unit 42は、RansomHouseの暗号化アップグレードは「ランサムウェア開発における憂慮すべき軌道」を示しており、復号化の困難さを増し、静的分析やリバースエンジニアリングをより難しくしていると結論付けています。
RansomHouseは比較的長く活動しているRaaSオペレーションの一つですが、攻撃量という点では中堅レベルに留まっています。しかし、高度なツールの継続的な開発は、規模ではなく効率と回避に焦点を当てた計算された戦略を示唆しています。