Linuxも標的にするAbyss Lockerランサムウェアに注意

ビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、「Abyss Lockerランサムウェア」「RA Worldランサムウェア」を紹介します。

WindowsとLinuxを狙う「Abyss Lockerランサムウェア」

Abyss Lockerランサムウェアが最初に報告されたのは、サンプルが一般公開されているファイルスキャンサービスに提出された2023年7月でした。その後、2024年1月初旬にWindowsシステムを標的とする「バージョン1」が発見され、同月末にはWindowsとLinuxを標的とする「バージョン2」が発見されています。

このランサムウェアは、被害者のデータを盗み出したうえで、ファイルの暗号化を行う「二重恐喝型」であり、ボリュームシャドウコピーやシステムバックアップを削除する機能も備えています。

暗号化されたファイルには「.abyss」という拡張子が付加され、以下のような「WhatHappened.txt 」というランサムノートを残します。

なお、Windows版のバージョン1とバージョン2の違いはランサムノートに記載されるバージョン名とTORサイトのアドレスが異なる程度で、調査時点でアクセスできたのはバージョン2のTORアドレスのみでした。

このTORサイトは、データ流出サイトではなく身代金交渉サイトとなっています。一般的なランサムウェアとは逆に、身代金の要求額が企業向けには低く、個人向けには高く設定されていますが、この真意は不明です。

なおAbyss Lockerランサムウェアは、HelloKittyランサムウェアのソースコードに基づいていることがわかっています。HelloKittyランサムウェアは2020年末に最初に登場したランサムウェアファミリーです。

その後、急速に進化し、現在でも全世界で広く利用されているランサムウェアであり、2023年10月にはそのソースコードが、ロシア語圏のハッキングフォーラムで公開されている、という報告もありました。同じくAbyss Lockerのサンプルも広い地域で利用されており、北米や南米、欧州、アジアなど、さまざまな地域から報告されています。

二重恐喝型の「RA Worldランサムウェア」

RA Worldランサムウェアは、2023年12月初旬に初めて報告されたランサムウェアです。これも被害者のデータを盗み出した後にファイルの暗号化を行う「二重恐喝型」であり、ボリュームシャドウコピーとシステムバックアップを削除する機能も備えています。

暗号化されたファイルには「.RAWLD」という拡張子が付加され、「Data breach warning.txt」というランサムノートが残されます。

このランサムノートから、被害者に対して「Tox」と「Telegram」という2種類の連絡方法を用意していることがわかります。Toxとは、エンドトゥエンドでの暗号化通信を行うインスタントメッセージ/テレビ電話のプロトコル（通信手順）であり、完全に分散化されたP2P（ポイントトゥポイント：サーバーを介さずに端末同士を接続すること）ネットワークによって、互いに直接接続できます。Telegramはロシア発のチャットツールで、LINEやMessengerのような通信手段です。

攻撃者は、3日以内に連絡がない場合には盗んだファイルの一部を、7日後にはその全てを、「Gofile」というファイル共有サービスに公開します。なおランサムノートには、身代金を支払っていない被害者のリストも含まれています。

興味深い点は、このリストが外部から動的に取得されたものではなく、ランサムノートに直書きされているということです。このランサムウェアを使う攻撃者は、ランサムウェアのサンプルが報告されるよりも前から活動していたと考えられ、実際に2024年1月末に見つかった亜種では、ランサムノートの被害者リストに7人が追加されています。

攻撃者は前述の連絡手段の他に、TORサイトと非TORサイトも運営しており、ここでも盗まれたファイルを公開しています。TORサイトのトップ画面は以下のようになっています。