Krakenランサムウェアグループが使用するランサムウェアには,暗号化を行う端末のベンチマークを行う機能があるとのこと.
むやみやたらな暗号化やスピードを求めたことによるリソース枯渇,リソース消費による異常検知によって作業が妨げられるのを防ぐことが目的と考えられる.
Krakenランサムウェアのパフォーマンステストオプション
Krakenランサムウェアには「-tests」、「-tempfile」、「-tempsize」などのコマンドラインオプションがある.これらが端末のパフォーマンステスト用に使用されているオプションとみられる.
「-tempfile」で一時的なテストファイルを作成,このファイルにランダムデータを書き込み「-tempsize」で指定された合計サイズに達するまで、1MB単位のチャンクで書き込む。処理時間を計測するために開始時刻を記録し、テストファイルに対して実際の暗号化を実行し、終了時刻を記録。経過時間から被害者マシンの暗号化速度(MB/秒単位)を算出するとのこと。
ランサムウェアの暗号化では,ファイル全体を暗号化する完全暗号とファイルの一部の重要なところのみを暗号化する部分暗号があるが,もしかしてその選択って端末のパフォーマンスで決定している可能性があるのだろうか.
確かに暗号化って,とりあえずやれば上手くいくものでもないよね
特に考えたことは無かったが,確かにランサムウェアで暗号化するといっても,ターゲットの端末ごとにスペックや空きリソース,環境設定,使える機能は異なるハズ.ランサムウェアが速度や効率化された最適な暗号方法できるとしても,ターゲットの状態によって暗号化のパフォーマンスは間違いなく異なる.
さらに異なる観点で言えば,暗号化したいファイルを別プロセスがオープンしている,OSを動かすための重要ファイルなら暗号化すべきではない,複数のパーティションがあったらどこまで暗号化する,バックアップは必ず削除しないと効果が出ない等.ランサムウェア攻撃者側では,暗号化のステップだけであっても攻撃実行前に考慮事項は多数存在しそうだ.
参考
・Unleashing the Kraken ransomware group
https://blog.talosintelligence.com/kraken-ransomware-group/
