ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初

2020年11月3日に、ブラジルの最高裁判所が大規模なサイバー攻撃を受けて、業務を1週間停止しました。セキュリティ研究者の調べにより、このサイバー攻撃にはランサムウェアであるRansomEXXが用いられたことが判明しており、「Windowで猛威を振るっている主要なランサムウェアがLinuxを標的に切り替えたのはこれが初」だと報じられています。

STJ
https://www.stj.jus.br/

RansomEXX Trojan attacks Linux systems | Securelist
https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

Warning: Major Windows Ransomware Gang Makes Its Way to Linux | Tech Times
https://www.techtimes.com/articles/253946/20201106/warning-major-windows-ransomware-gang-makes-way-linux.htm

憲法問題を取り扱わない裁判所としてはブラジルで最も高位な機関である司法最高裁判所(Superior Tribunal de Justiça：STJ)は11月4日に、前日の3日に司法システムがウイルスに感染していることが判明したため、業務を中断していることを発表しました。これに伴い、STJの業務は11月3日～9日までの1週間停止することが決まりました。

STJのHumberto Martins長官は5日に声明を発表し、その中で「サイバー攻撃は暗号化を通じてデータへのアクセスを妨げていますが、バックアップがあるため、進行中の法定手続きに関連するデータは影響を受けませんでした」と述べました。しかし、アメリカのニュースサイトZDNetは11月6日に、データの暗号化はバックアップにまで及んでおり、本件は「ブラジル史上最悪のサイバーセキュリティ事件」と呼ばれていると報じています。

この件について分析を進めていたセキュリティ会社のKasperskyは、11月6日に「STJへのサイバー攻撃に使用されたのはLinux版RansomEXXである」とのレポートを発表しました。

以下は、今回STJへの攻撃に使用されたRansomEXXのコード(左)と、テキサス運輸省への攻撃に使用されたRansomEXXのコード(右)のスクリーンショットです。Kasperskyのセキュリティ研究者は、2つのランサムウェアのコードのレイアウトやファイルを暗号化する手順が酷似していることを指摘し、「異なるコンパイラと異なるプラットフォームで構築されているにもかかわらず、類似性は非常に明白です」と述べました。

Kasperskyのセキュリティ研究者であるFedor Sinitsyn氏とVladimir Kuskov氏のレポートによると、RansomEXXは2020年初頭から猛威を振るっており、これまでにテキサス運輸省や電気機器メーカーのコニカミノルタがRansomEXXの標的になっているとのこと。

RansomEXXは他にも、レーザー兵器メーカーのIPG Photonicsや公共部門に特化したアメリカの大手ソフトウェアメーカーであるTyler Technologiesなど、多種多様な団体や企業に被害を与えていることが確認されています。

この件を取り上げたテクノロジー関連のニュースサイト・Tech Timesは、「Kasperskyのレポートにより、Linux版RansomEXXはLinuxに移植された主要なWindowsランサムウェアとしては初のものであることが明らかになりました」と報じました。

Tech Timesによると、RansomEXXは多額の身代金を目的として政府組織や大企業を次々に標的にしていることから、セキュリティ研究者の間では「big-game hunter(大物狙い)」「human-operated ransomware(人が操るランサムウェア)」と呼ばれているとのことです。

これまでWindowsで動作するサーバーを主な標的にしていたランサムウェアが、Linuxを標的にしたことについて、Tech Timesは「多くの企業は、実際のところWindows ServerではなくLinuxで直接内部システムを実行しています。従って、RansomEXXの動きは、すぐにでも業界を席巻するトレンドになる可能性があります」と指摘しました。