サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

新たな脅威「Cicada3301」ランサムウェア:Windows・LinuxをターゲットにRust言語で開発された高度な暗号化技術

新たなランサムウェアグループ「Cicada3301」の出現

2024年6月、サイバーセキュリティの業界では新たな脅威が現れました。 「Cicada3301」と名乗るランサムウェアグループが、WindowsとLinux/ESXiホストを標的とした攻撃を開始したのです。このグループは、高度な暗号化技術を駆使し、短期間で複数の被害者をデータ流出サイトに掲載するなど、急速にその存在感を示しています。

Cicada3301の特徴として注目すべきは、そのランサムウェアがRust言語で開発されていることです。Rustは性能とセキュリティ機能で知られるプログラミング言語ですが、ESXiランサムウェアにRustを使用しているグループは限られています。過去には、現在は活動を停止したBlack Cat/ALPHVランサムウェア・アズ・ア・サービス(RaaS)グループが同様の手法を用いていました。

Cicada3301の攻撃手法と機能

Cicada3301の攻撃は、正規のログイン認証情報を使用することから始まります。 これらの認証情報は、盗難やブルートフォース攻撃によって入手されたと考えられます。攻撃者はScreenConnectなどのリモートアクセスツールを利用してシステムに侵入します。

このランサムウェアの主な機能は以下の通りです:

  1. ChaCha20暗号化アルゴリズムの使用
  2. Rust言語で開発されたELFバイナリ(バージョン1.79.0)
  3. WindowsLinux/ESXiの両システムを標的
  4. ダブルエクストーション(データの暗号化と流出脅迫)の手法

ランサムウェアの主要機能「linux_enc」は、Linux/ESXiシステム上でデータを暗号化するように設計されています。この機能には以下のようなパラメータがあります:

  • UIパラメータ:暗号化の進行状況と統計情報を表示
  • No_VM_SSパラメータ:仮想マシンをシャットダウンせずにファイルを暗号化
  • Keyパラメータ:有効なキーがなければ実行されない

Cicada3301の技術的特徴

Cicada3301ランサムウェアの技術的特徴として、以下の点が挙げられます:

  1. OsRng乱数生成器を使用して対称鍵を生成
  2. ChaCha20でファイルを暗号化
  3. RSAでChaCha20キーを暗号化して安全に保存
  4. 暗号化されたファイルのディレクトリに「RECOVER-[拡張子]-DATA.txt」という形式でランサムウェアノートを作成

セキュリティ対策と今後の展望

Cicada3301の出現は、サイバーセキュリティ業界に新たな警鐘を鳴らしています。高度な暗号化技術と複数のオペレーティングシステムを標的にする能力は、この脅威の深刻さを物語っています。

組織はこのような脅威に対して、以下のようなセキュリティ対策を強化する必要があります:

  1. 定期的なデータバックアップ
  2. ネットワークのセグメンテーション
  3. 従業員のセキュリティ意識向上トレーニング
  4. 多要素認証(MFA)の導入
  5. パッチ管理の徹底

また、Cicada3301の攻撃に使用されたIPアドレスがBrutusボットネットと関連していることから、このグループが過去のBlackCat/ALPHVグループの再ブランド版である可能性も指摘されています。この点については、今後の調査や分析が待たれるところです。

サイバーセキュリティの世界は日々進化し、新たな脅威が次々と現れています。組織や個人が最新の脅威情報を常に把握し、適切な対策を講じることが、今後ますます重要になってくるでしょう。

Japan Cyber Security Inc. All Rights Reserved.