これまでWindows狙ってきたランサムウェアIceFire 流行に乗りLinuxを標的に

SentinelLabsはランサムウェア「IceFire」の感染が拡大しているとして注意を呼びかけた。これまでWindowsを標的としてきた同ランサムウェアは、新たにLinuxを狙った攻撃を開始している。

[後藤大地，有限会社オングス]

　SentinelOneの脅威インテリジェンスおよびマルウェア分析チームであるSentinelLabsは2023年3月9日（現地時間）、これまで「Windows」を標的としてきたランサムウェア「IceFire」が、新しく「Linux」を標的として感染を広めていると指摘した。

　サイバー攻撃者の間では、2022年からランサムウェアの標的にLinuxを追加する動きが起こっており、今回の動きはこうした流れの最新版となる。SentinelLabsは、2023年もLinuxを標的としたランサムウェア攻撃が続く可能性があるとして注意が呼びかけている。

IceFireランサムウェアがLinuxを標的にして感染を拡大している（出典：SentinelLabsのWebサイト）

Linuxを狙うランサムウェア攻撃　IBM製品の脆弱性を悪用

　SentinelLabsによると、2022年にはBlackBastaやHive、Qilin、Vice Society（HelloKitty）などの有名なランサムウェアグループがLinuxを標的に追加している。今回、IceFireがLinuxを標的としたことは、他のランサムウェアグループと足並みをそろえる重要な動きだ。

　IceFireはこれまでWindowsを標的としてきたが、最近はファイル共有ソフトウェア「IBM Aspera Faspex」のYAMLデシリアライゼーションの脆弱性（CVE-2022-47986）を利用して感染を拡大している。なお、CVE-2022-47986のCVSSスコアは9.8と評価されている。

　SentinelLabsは「ここ数週間で、全世界の複数のメディアおよびエンターテインメント分野における企業ネットワークにこのLinuxを標的とした新たなIceFireが展開されている」と説明した。

　IceFireのこれまでの攻撃戦術はBGH（big-game hunting）ランサムウェアファミリーの戦術と一致していた。つまり、「二重の脅迫」「テクノロジー系の大企業を標的とする」「多数の永続化メカニズムの使用」「ログファイル削除による分析回避」などが特徴だ。

　しかし今回SentinelLabsによって観測された標的はメディアおよびエンターテインメント分野の企業であり、これまでランサムウェアの標的となっていなかったトルコやイラン、パキスタン、アラブ首長国連邦などで感染が拡大している。