VMware ESXi サーバーは、ここ数か月間、恐喝犯やその他の犯罪者の標的となってきた別のランサムウェア種です。
世界中の幅広い組織で使用されているベアメタルハイパーバイザーであるESXiは、LockBit、Hive、RansomEXXといったランサムウェアファミリーの標的となっています。トレンドマイクロの研究者によると、ESXiの普及と、それを利用する一部の企業の規模の大きさから、サイバー犯罪者が多数の仮想化システムや接続されたデバイス、機器に感染させる効率的な手段となっているとのことです。
「ESXiは、企業のサーバ仮想化環境において広く利用されています」とトレンドマイクロは今週のレポートで述べています。「そのため、ランサムウェア攻撃の格好の標的となっています。(中略)ESXiサーバへの侵入は、ランサムウェアを多数のデバイスに迅速に拡散させる手段であるため、悪名高いサイバー犯罪グループによって悪用されてきました。」
サイバーセキュリティ企業 nVisium のシニア ソフトウェア エンジニア Yehuda Rosen 氏は、ESXi サーバーは「単なるサーバーをはるかに超えるものだ」と述べています。
「数十台の仮想マシンをホストできるため、組織のIT環境における重要性が高まり、組織がサーバーの復旧のために身代金を支払う可能性も劇的に高まります」とローゼン氏はThe Registerに語った。「攻撃者が1台のマシンに感染するだけで複数の[仮想]サーバーを人質に取ることができる場合、攻撃者の作業負荷は軽減され、得られる見返りも大きくなります。」
VMware のハイパーバイザーを標的とした最新のランサムウェアは、Trend の研究者が Cheerscrypt (または単に Cheers) と呼んでいるもので、増加している感染拡大と同様に、被害者に要求された身代金を支払うよう促すことを目的とした二重の恐喝の脅威を伴います。
ContiやRyukマルウェアの背後にいる数百万ドル規模の組織、ウィザードスパイダーを紹介する
続きを読む
被害者の画面にポップアップ表示される身代金要求メッセージの中で、サイバー犯罪者は組織に3日間の猶予を与え、連絡が取れない場合、侵入したコンピュータから盗み出したデータを公開し、身代金の額を増額すると警告しています。
これを実行するには、攻撃者は標的のESXiハイパーバイザーサーバーへの特権シェルアクセス(デフォルトでは無効)を取得するか、ホスト上でコマンドを実行する権限を取得する必要があるようです。Linux環境のESXiサーバーにアップロードされ実行されると、Cheersランサムウェアはesxcliコマンドを使用して実行中のすべての仮想マシン(VM)プロセスを終了するコマンドを実行し、マシン上のデータを暗号化するコードを実行します。「VMプロセスを終了することで、ランサムウェアはVMware関連ファイルを暗号化できるようになります」とTeam Trendは記しています。
このランサムウェアは、.log、.vmdk、.vmem、.vswp、.vmsn の拡張子を持つログファイルと VMware 関連ファイルを探します。暗号化したディレクトリごとに、「How to Restore Your Files.txt」というランサムウェアログを残します。暗号化に成功したファイルには、.Cheers という拡張子が付与されます。
奇妙なことに、ランサムウェアは実際にファイルを暗号化する前に、まず暗号化しようとしているファイルの名前を変更すると研究者は記しており、「したがって、ファイルへのアクセス権限が付与されていない場合、実際の暗号化を続行することはできない」と付け加えている。
暗号化が完了すると、ランサムウェアは暗号化されたファイルの数、暗号化されなかったファイルの数、暗号化されたデータの量など、実行内容の統計情報を表示します。
Cheerscryptの実行ファイルには、公開鍵と秘密鍵のペアのうち公開鍵が含まれています。マルウェアの首謀者は秘密鍵を独自に保持しています。このプログラムは、SOSEMANUKストリーム暗号を使用して、侵入したマシンのデータを暗号化します。Trendによると、ファイルの暗号化プロセスは以下のとおりです。
組織はランサムウェアなどの攻撃からシステムを保護するために、積極的に取り組む必要があると彼らは述べている。これには、インターネットセキュリティセンター(CSI)や米国国立標準技術研究所(NIST)などのセキュリティフレームワークの導入が含まれ、彼らはこれらのフレームワークが「セキュリティチームがリスクを軽減し、脅威への露出を最小限に抑えるのに役立つ」と述べている。それぞれのフレームワークで議論されているベストプラクティスを採用することで、組織は独自のフレームワークをカスタマイズする際の時間と労力を節約できる。
サイバーセキュリティ企業ThreatModelerの創設者兼CEOのアーチー・アガーワル氏は、企業は冷静に考える必要があると述べた。
「攻撃者が攻撃対象を決定する際にリスクとリターンを計算するのと同様に、防御側も緩和策の費用対効果分析を行うべきです」とアガーワル氏はThe Registerに語った。「ランサムウェアが組織にとって脅威となるのであれば、ランサムウェアが水のように探し出す侵入経路をすべて遮断すべきでしょうか?それとも、ランサムウェアの攻撃による影響を防ぐためのデータ保持・複製スキームに投資すべきでしょうか?」®
