Linuxを標的とするGoで開発されたMaoriランサムウェアに注意

UNIZA ランサムウェア：1文字ずつランサムノートを表示

「UNIZAランサムウェア」は新しいランサムウェアですが、基本的な挙動は一般的なランサムウェアと同様です。このランサムウェアの特徴は、大きく2点あります。

1つは、暗号化したファイルに拡張子を追加しないため、どのファイルが影響を受けたのかを判別しにくいことです。FortiGuard Labsが解析した結果、ユーザーフォルダ（%userprofile%）とデスクトップのファイルを暗号化することがわかっています。

もう1つの特徴は、ランサムノートの表示方法です。身代金のメモを残すのではなく、コマンドプロンプト画面を起動し、そこに時間をかけて1文字ずつ表示するようになっているのです。これは、攻撃者が被害者のマシンを遠隔操作しているように見せかけることで「攻撃者の目から逃れられない」と感じさせるための、一種の恐怖戦術だと言えます。

要求される身代金は20ユーロ相当のBitcoinと安価であり、これも消費者をターゲットにしているのでしょう。ただし2023年4月の時点では、攻撃者のBitcoinウォレットに1件の取引も記録されていませんでした。

Maori ランサムウェア：標的はLinux

今回最後に紹介するのは「Maoriランサムウェア」です。これも他のランサムウェアと同様に、感染したマシンのファイルを暗号化し、身代金を要求します。ただし多くのランサムウェアとの決定的な違いは、ほとんどのランサムウェアがWindowsマシンをターゲットにしているのに対し、MaoriはLinuxマシンで動くように設計されていることです。

開発言語は「Go」を使用しています。これはGoogleが開発したプログラミング言語であり、誰が読んでもわかりやすい、シンプルな記述ができる点が高く評価されています。その一方で、実行に必要な各種ライブラリを外部に置いて実行時に動的にリンクするのではなく、コンパイルによって実行可能ファイルを生成する際に「ライブラリを静的リンクとして取り込める」点も、大きな特徴になっています。

これによって、ライブラリ実行時に動的にリンクする言語や、事前にコンパイルせず実行時にコード内容を解釈するスクリプト言語に比べて、圧倒的に高速な処理が可能です。最近ではこのような特徴に着目し、Goを採用する開発者も増えています。

この特徴は当然ながら、サイバー攻撃者も注目しており、最近はGoで開発されたランサムウェアも増えています。ここで問題になるのは、必要なライブラリを静的リンクとしてまとめてコンパイルされることで、実行速度だけではなく内部解析の難易度も上がってしまうということです。

FortiGuard Labsで解析した結果、Maoriが暗号化するのは、ホームディレクトリ（/home/）にある全てのユーザーファイルであり、他の場所にあるファイルは全て無視されることがわかっています。このような設計になっているのは、Linux OSの挙動に影響を与えることなく、短時間で暗号化を完了できるようにするためだと考えられます。

暗号化されたファイルには「.maori」という拡張子が付加されます。暗号化が完了すると、ファイル暗号化の対象となった各ディレクトリに以下のテキストファイル（ランサムノート）を残し、自身を削除します。Kadavro VectorやUNIZAがランサムノートに工夫を凝らしていたのに比べれば、Maoriのランサムノートは非常にシンプルだと言えます。

なお、MaoriはFortiGuard Labsがいち早く発見したランサムウェアですが、2023年5月の時点では幸い、これが被害をもたらしたという事案は発生していません。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

著者プロフィール

今野俊一（フォーティネットジャパン上級研究員）、James Slaughter（Fortinet Senior Threat Intelligence Engineer）、Geri Revay（FortiGuard Systems Engineer）、Fred Gutierrez（FortiGuard Systems Engineer）、寺下健一（フォーティネットジャパンチーフセキュリティストラテジスト）