セキュリティベンダーのCrowdStrikeによると、2種類のランサムウェアが最近更新され、VMwareのESXiハイパーバイザーを標的とし、仮想マシンのファイルを暗号化するようになったという。
どちらの攻撃もESXi自体には侵入経路を見つけていません。これは朗報です。タイプ1ハイパーバイザーへの攻撃が成功すれば、ホストが侵害される可能性があるからです。しかし、どちらの攻撃もESXiとその仮想マシンの管理に使用されているvCenter Serverの認証情報を見つけることに依存しています。vCenter Server管理者の皆さん、先週明らかになった、vCenter Server上でリモートコード実行を可能にする重大な脆弱性にパッチを適用していない限り、まだ安心しないでください。
CrowdStrike によれば、ESXi を攻撃しているのが確認された 2 つのランサムウェアの種類は、CARBON SPIDER と SPRITE SPIDER と名付けられているとのこと。
どちらも全く新しいプレイヤーではありません。SPRITE SPIDERは少なくとも2020年7月から観測されており、「Defray777」というランサムウェアを好んで利用しています。
SPRITE SPIDER を操る者が vCenter 認証情報を入手すると (ブラウザやホスト メモリから認証情報を持ち出すことで実現)、CrowdStrike によれば、「通常は、正規のツールを装うファイル名 (例: svc-new) を使用して、Defray777 の Linux バージョンを /tmp/ に書き込みます」。
VMwareは、中国のホワイトハットハッカー集団で発見された重大なハイパーバイザーのバグを公開。その一つは、ゲストがホスト上でコードを実行できるというものだった。
続きを読む
このツールが実行されると、SPRITE SPIDER は「uname、df、esxcli vm process list コマンドを使用して、ESXi ホスト上のシステム情報とプロセスを列挙します。」この作業が完了すると、実行中の仮想マシンを終了し、暗号化します。
このグループは VMware と ESXi についても十分な知識を持っており、障害の発生した VM を自動的に再起動するツールである VMware Fault Domain Manager をアンインストールしようとします。
CARBON SPIDERは2016年から活動を続けており、POSデバイスを標的としていましたが、2020年8月には「Darkside」という独自のランサムウェアを開発し、ESXIホストを攻撃するようにカスタマイズされたバージョンまで作成しました。このVMware中心のバージョンは、ESXIで使用される一部のファイル形式を標的とし、暗号化します。
CrowdStrikeのアナリストは、「ファイルはChaCha20アルゴリズムを用いて暗号化されます。32バイトのキーと8バイトのナンスはファイルごとに一意に生成されます」と述べています。「ChaCha20のキーとナンスは、ランサムウェアに埋め込まれた4096ビットのRSA公開鍵を用いて暗号化されます。」
CrowdStrike の研究者である Eric Loui 氏と Sergei Frank 氏は、ESXi を攻撃すると、ハイパーバイザーが管理するすべての仮想マシンを暗号化できる可能性があるため、ランサムウェアの潜在的な利益が大きくなると考えています。
「ESXi サーバーに対するこれらのランサムウェア攻撃が成功し続ける場合、中期的にはさらに多くの攻撃者が仮想化インフラストラクチャを標的にし始める可能性があります」と、CrowdStrike の 2 人の研究者は述べています。
VMware は現在ハイブリッド クラウドに全面的に取り組んでおり、単一の vCenter ログオンでパブリック クラウドにアクセスすることも可能です。®
