概要
Linux 対応のランサムウェア Pay2Key が企業向けサーバーや VMware ESXi 仮想化ホスト、クラウドワークロードを標的にしており、Linux ランサムウェアは単なるファイルロックツールから進化し、より高度な脅威となっていることが明らかになりました。
Pay2Key の特徴
Pay2Key はもともとイスラエルやブラジルの組織を標的とした人間操作型 Windows インフラストラクチャ侵入ツールとして知られていましたが、現在では Linux 環境向けに明示的にサポートされているランサムウェア・アズ・ア・サービス (RaaS) となっています。最近の研究によると、新しいビルダーには Linux 対応のペイロードオプションがあり、アフィリエイトが Windows エンドポイントだけでなく Linux ベースのインフラストラクチャ向けにロックバイナリを生成できるようになっています。
脅威の背景
この傾向は、データと計算能力が Linux サーバー、仮想化プラットフォーム、クラウド上でますます重要になっていることを反映しています。脅威インテリジェンスレポートでは、イラン支援のアクターによる操作が、オンプレミス企業ネットワークから金融システムや SAP データベース、ESXi インフラストラクチャを含む高価値ワークロードへの拡大を示しています。
攻撃手法
Pay2Key の Linux バージョンは、スケーラビリティ、安定性、オペレータの摩擦を最小限に抑えるように設計されています。このマルウェアは、JSON コンフィギュレーションファイルから指示を受け取り、特定のパスやファイルタイプ、マウントクラスをターゲットとします。
影響
Pay2Key の Linux バージョンは、アプリケーションサーバー、仮想化ホスト、クラウドバックアップストレージといった現代企業の基盤となるシステムに最適化されています。ESXi などの仮想化インフラストラクチャを標的とすることで、1つのハイパーバイザが複数のゲスト VM を含む大規模なダウンタイムにつながる可能性があります。
対策
セキュリティチームは Linux について低リスクプラットフォームとは考えることができません。Pay2Key の進化により、Linux もランサムウェアの主要ターゲットとなっています。厳格なアクセス制御とパッチ管理をはじめとするハードニングが必要です。
まとめ
企業は Linux についても同様に高度なセキュリティ対策を行う必要があります。Pay2Key の進化により、Linux もランサムウェアの主要ターゲットとなっています。