ランサムウェアは、瞬く間に無名から悪名高き存在へと急上昇しました。WannaCry、Petya、NotPetyaといった注目を集めたキャンペーンの後、同様の手法を用いて不注意なインターネットユーザーから金銭を詐取する小規模な攻撃が大幅に増加しました。そして今、Palo Alto Networksの研究者たちは、NotPetyaの遺産を受け継ぎながら、様々な種類の脅威を1つのパッケージにまとめた新たなマルウェアを発見しました。
Unit 42と呼ばれる研究者たちは、この新たなマルウェアを「Xbash」と名付けました。ボットネット、ランサムウェア、暗号通貨マイニングソフトウェアを1つのワームに統合し、LinuxまたはWindowsサーバーを標的とすると言われています。研究者たちは、Xbashの作成にIron Groupと呼ばれる組織が関与していると主張しており、このマルウェアは他のランサムウェア攻撃との関連が指摘されています。このマルウェアは2018年5月に初めて使用されたと考えられています。
ランサムウェアについて簡単におさらいしましょう。ランサムウェアとは、被害者のシステム上のファイルを暗号化し、復元と引き換えに金銭を要求するマルウェアの一種です。この金銭は通常、従来の通貨よりも追跡が困難なビットコインで支払われます。この仕組みは、金銭を送金することで、攻撃者が被害者のファイルを暗号化する際に使用したパスワードを盗み出すことを狙っています。パスワードが盗まれた場合、ファイルへのアクセスは回復するはずです。
問題は、それが必ずしも実現するとは限らないことです。Unit 42によると、XbashはNotPetyaと同様に、実際にはデータ復元専用の機能を備えていません。Xbashは依然として身代金を要求し、これまでに48人の被害者がビットコインで約6,000ドルを攻撃者に支払っていますが、たとえ支払われてもファイルは暗号化されたままです。Xbashの身代金は、被害者のデータを破壊するという真の目的を隠蔽するための、単なるおとりに過ぎない可能性があります。
Unit 42によると、Xbashは遭遇するオペレーティングシステムによって動作が異なるという。Linuxデバイスはランサムウェアの影響を受けやすく、マルウェアのボットネットの構築にも利用される。一方、Windowsデバイスは暗号通貨のマイニングと自己増殖に利用される。両方を標的にすることで、Xbashの運営者(おそらくIron Group)は、侵入先のサーバーに関わらず、最大限の混乱を引き起こすことができる。
Xbashには、組織のイントラネットを調査し、潜在的に侵入する機能もあります。この機能は現在有効化されていませんが、Unit 42は、有効化された場合、「このイントラネット機能により、Xbashの被害は現在よりもさらに深刻化する可能性がある」と警告しています。内部ネットワークは外部ネットワークよりもセキュリティが低い場合が多く、これらのネットワークに侵入されると、Xbashが組織の重要なサービスに干渉する可能性があります。
Unit 42はこれまでにXbashの4つのバージョンを発見しており、研究者らは「これらのバージョン間のコードとタイムスタンプの違いは、Xbashが依然として活発に開発中であることを示している」と述べています。この開発は、新たな機能の導入、マルウェアに既に存在するイントラネット標的型機能の有効化、あるいはXbashの検出回避能力の向上に利用される可能性があります。活発な開発は、マルウェアの脅威が常に進化していることを意味します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Xbashのようなマルウェアによる被害を軽減する最善の方法は、重要なファイルを定期的にバックアップし、一般的なセキュリティ対策をすべて講じ、誰も身代金を支払わないようにすることです。ランサムウェアはその名前とは裏腹に、急速に「恐喝ウェア」に近いものになりつつあるため、この手口に加担するよりもビットコインを渡さない方が賢明です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
