新たなランサムウェアグループ「Cicada3301」の出現
2024年6月、サイバーセキュリティの業界では新たな脅威が現れました。 「Cicada3301」と名乗るランサムウェアグループが、WindowsとLinux/ESXiホストを標的とした攻撃を開始したのです。このグループは、高度な暗号化技術を駆使し、短期間で複数の被害者をデータ流出サイトに掲載するなど、急速にその存在感を示しています。
Cicada3301の特徴として注目すべきは、そのランサムウェアがRust言語で開発されていることです。Rustは性能とセキュリティ機能で知られるプログラミング言語ですが、ESXiランサムウェアにRustを使用しているグループは限られています。過去には、現在は活動を停止したBlack Cat/ALPHVランサムウェア・アズ・ア・サービス(RaaS)グループが同様の手法を用いていました。
Cicada3301の攻撃手法と機能
Cicada3301の攻撃は、正規のログイン認証情報を使用することから始まります。 これらの認証情報は、盗難やブルートフォース攻撃によって入手されたと考えられます。攻撃者はScreenConnectなどのリモートアクセスツールを利用してシステムに侵入します。
このランサムウェアの主な機能は以下の通りです:
- ChaCha20暗号化アルゴリズムの使用
- Rust言語で開発されたELFバイナリ(バージョン1.79.0)
- WindowsとLinux/ESXiの両システムを標的
- ダブルエクストーション(データの暗号化と流出脅迫)の手法
ランサムウェアの主要機能「linux_enc」は、Linux/ESXiシステム上でデータを暗号化するように設計されています。この機能には以下のようなパラメータがあります:
- UIパラメータ:暗号化の進行状況と統計情報を表示
- No_VM_SSパラメータ:仮想マシンをシャットダウンせずにファイルを暗号化
- Keyパラメータ:有効なキーがなければ実行されない
Cicada3301の技術的特徴
Cicada3301ランサムウェアの技術的特徴として、以下の点が挙げられます:
- OsRng乱数生成器を使用して対称鍵を生成
- ChaCha20でファイルを暗号化
- RSAでChaCha20キーを暗号化して安全に保存
- 暗号化されたファイルのディレクトリに「RECOVER-[拡張子]-DATA.txt」という形式でランサムウェアノートを作成
セキュリティ対策と今後の展望
Cicada3301の出現は、サイバーセキュリティ業界に新たな警鐘を鳴らしています。高度な暗号化技術と複数のオペレーティングシステムを標的にする能力は、この脅威の深刻さを物語っています。
組織はこのような脅威に対して、以下のようなセキュリティ対策を強化する必要があります:
- 定期的なデータバックアップ
- ネットワークのセグメンテーション
- 従業員のセキュリティ意識向上トレーニング
- 多要素認証(MFA)の導入
- パッチ管理の徹底
また、Cicada3301の攻撃に使用されたIPアドレスがBrutusボットネットと関連していることから、このグループが過去のBlackCat/ALPHVグループの再ブランド版である可能性も指摘されています。この点については、今後の調査や分析が待たれるところです。
サイバーセキュリティの世界は日々進化し、新たな脅威が次々と現れています。組織や個人が最新の脅威情報を常に把握し、適切な対策を講じることが、今後ますます重要になってくるでしょう。