Trellixはこのほど、「RansomHouse am See」において、複数のVMware ESXiハイパーバイザー上で動作してランサムウェアを自動展開するツール「MrAgent」を発見したと報じた。同ツールはランサムウェアグループ「RansomHouse」が開発したとみられる。

  • RansomHouse am See

    RansomHouse am See

ランサムウェアグループ「RansomHouse」とは

RansomHouseはランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を提供するランサムウェアグループ。データ窃取と暗号化による二重恐喝手法を使用する。このグループの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)は、コンテンツデリバリーネットワーク(CDN: Content Delivery Network)をデータ窃取に悪用し、Tor(The Onion Router)のチャットルームを交渉に使用するなど、高度な能力と技術力を証明している。

Trellixによると、このグループはLinuxとWindowsを標的にしているという。また、過去にソースコードを流出させた「Babuk」とランサムウェアのコードを共有している。このグループとTorのチャットルームで交渉するときは、英語と中国語による交渉が可能とされる。

自動化ツール「MrAgent」とは

自動化ツール「MrAgent」はハイパーバイザー上で動作するように設計されたバイナリーで、多数のハイパーバイザーシステムを持つ大規模な環境全体にランサムウェアを自動的に展開して追跡するツールとされる。

MrAgentはコマンドの引数として複数のコマンド&コントロール(C2: Command and Control)サーバのアドレスを受け取り実行される。起動するとシステムの識別子を作成し、ローカルIPアドレスを取得、システムのファイアウォールを無効にする。その後、ラウンドロビン方式で各C&Cサーバと接続し、コマンドを待機する。

C&Cサーバに提供する機能としては、ランサムウェアの展開をスケジュールして追跡、ハイパーバイザーで実行されている仮想マシンとその属性の収集、ファイルの削除、コマンドの実行、アクティブなSSHセッションの停止、ウェルカムメッセージの変更機能などがある。

Trellixは調査の過程で、VMware ESXi以外にもWindows用のMrAgentバイナリを発見している。Windows版ではESXi特有の処理がオミットされ、一部の機能はPowerShellを使用して実装されているという。

対策

Trellixはこのランサムウェアグループのような攻撃を回避するには、その戦術、技術、手順(TTPs)を学び、必要な対策を講じる必要があるとしている。そのためにRansomHouseの戦術、技術、手順(TTPs)の一覧を公開しており、この一覧を活用して管理している環境に合わせた対策を各自が適切に構築して実践することが推奨されている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。