Bleeping Computerはこのほど、「Linux version of Qilin ransomware focuses on VMware ESXi」において、ランサムウェア「Qilin」のLinux向け暗号化ツールを発見したと伝えた。この暗号化ツールはLinux、FreeBSD、VMware ESXiサーバで使用可能で、仮想マシンの暗号化とスナップショットの削除を狙っているとみられる。
Qilinは2022年8月に「Agenda」として活動を開始したランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を採用する脅威グループとされる。Qilinは主に企業のネットワークへ進入して横方向に移動しながらデータを窃取する攻撃を行うという。データとサーバ管理者の認証情報の窃取を完了すると、ランサムウェアを展開してすべてのデータを暗号化し、身代金を要求する。
今回発見された暗号化ツールはこのランサムウェアとして機能するツールとみられる。この暗号化ツールを最初に発見したセキュリティ分析者の「MalwareHunterTeam」は、Bleeping Computerとこのツールを共有して分析を実施。この分析によると、このツールにはデフォルトで「終了しないプロセス」、「暗号化から除外する対象」、「暗号化の対象」の条件が埋め込まれているという。また、暗号化しない仮想マシンの一覧を構成することも可能とされる。
他にもLinux、FreeBSD、VMware ESXiを自動で判定し、環境に応じた適切な動作を行える。VMware ESXiを検出した場合はすべての仮想マシンを終了し、すべてのスナップショットを削除してから仮想マシンを暗号化する。このとき、VMwareのヒープメモリが枯渇する問題を解決し、暗号化のパフォーマンスを向上させる機能まで持つとされる。
Bleeping Computerはこれまで、Qilinのランサムウェア攻撃により、25,000ドルから数百万ドルにおよぶ身代金の要求を確認している。最近も自動車部品サプライヤーの「Yanfeng Automotive Interiors (Yanfeng)」が攻撃され、被害にあったとされる(参考:「Qilin ransomware claims attack on automotive giant Yanfeng」)。この脅威グループによる活動は着実に被害者を増やしており、2023年の年末に向けて活動が増加する可能性があるとして注意を呼びかけている。