SentinelOneの研究者によると、サイバー攻撃者はWindowsやLinux、ESXiに対する攻撃のためにRustやGoのようなプログラミング言語を使用している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のSentinelOneによると、ランサムウェアグループは「Windows」搭載デバイスから「Linux」や「VMware ESXi」(以下、ESXi)のホストに狙いを移し、潜在的なターゲットの範囲を広げている。
SentinelOneのシニア脅威リサーチャーであるジム・ウォルター氏は2023年8月23日のブログ投稿で「サイバー犯罪者はContiやLockbit、Babukなどのランサムウェアファミリーからのコードを修正しながら再利用して、異なるプラットフォームで動作するマルウェアを使用した新しい攻撃手法を生み出している(注1)」と述べた。
サイバー攻撃者はRustやGoなどのプログラミング言語を使い、マルウェアを複数のプラットフォームに迅速に移植している。それに加え、WindowsやLinux、ESXiのシステムに対する悪意のあるコード間で機能セットの移植を実現している。
「これらのLinuxやESXiに焦点を当てた暗号化の仕組みには、最初からWindows版と同等の機能が全て含まれている」(ウォルター氏)
RustやGoのようなメモリ安全性の高いプログラミング言語は、サイバー攻撃者だけでなく防御者にもメリットがある。これらはより速く、より複雑な暗号化と深い制御を可能にする(注2)。
2023年の初め、サイバーセキュリティ当局は、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則を推進する取り組みの一環として、より安全なソフトウェア開発技術を求めて、メモリ安全性の高い言語による開発に関する情報を集めていた(注3)(注4)。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(以下、CISA)のシニア・テクニカルアドバイザーであるジャック・ケーブル氏は、セキュリティ関連の国際カンファレンス「Black Hat」のプレゼンテーションにおいて「現在のメモリ安全性の高い言語における脆弱(ぜいじゃく)性の3分の2は、メモリの安全性そのものに起因している」と話した。
WindowsまたはLinux、ESXiをターゲットとした悪意のあるコードの開発時間が短くなっていることは、ランサムウェアグループがこれらの言語への移行によって得るメリットを裏付けている。
「標的とする仮想マシンを効率的に暗号化する能力は、ランサムウェアグループにとって非常に魅力的だ。適切で堅牢(けんろう)な不正コードを使用することで、完全に仮想化されたインフラを数分で侵害できる可能性がある」(ウォルター氏)
(注1)From Conti to Akira | Decoding the Latest Linux & ESXi Ransomware Families(SentinelOne)
(注2)Hive ransomware group migrates code to Rust, accelerating data encryption(Cybersecurity Dive)
(注3)White House wants input on open source security, memory-safe languages(Cybersecurity Dive)
(注4)Explore the core tactics of secure by design and default(Cybersecurity Dive)
© Industry Dive. All rights reserved.