VMware ESXi Server を狙うランサムウェア:Python で3時間で仕事を終わらせる

Unnamed Ransomware gang uses a Python script to encrypt VMware ESXi servers

2021/10/05 SecurityAffairs — Sophos の研究者たちがランサムウェア攻撃を調査していたところ、Python スクリプトを使う攻撃者が、VMware ESXi サーバ上の仮想マシンを暗号化していたことが分かった。Sophos の研究者たちが調査した攻撃では、ランサムウェアのオペレーターが、最初の侵入から僅か3時間後に、VMware ESXi サーバの仮想ディスクを暗号化していた。

この侵入者は、ドメイン管理者がログオンしているデバイス上で実行されている、TeamViewer アカウントへのログインにより、標的ネットワークにアクセスしていた。その後に、攻撃者は、Advanced IP Scanner を用いてネットワーク・エンドをスキャンし、他のターゲットを特定した後に、Bitvis という SSH クライアントを用いて ESXi サーバーにログインした。

このケースでは、被害組織の IT 管理者が SSH ESXi Shell サービスを有効にしていたことで、攻撃者に対するドアが開かれていた。その後に、ランサムウェアのオペレーターは、小さな Python スクリプト (6kb) を実行し、サーバー上でホストされている仮想マシンの、すべての仮想ディスクと VM 設定ファイルを暗号化した。

研究者たちは、「攻撃者がネットワークをスキャンしてから3時間後に、彼らは認証情報を使って ESXi シェルにログインし、fcker.py というファイルを ESXi データストアにコピーした。続いて攻撃者は、データストアのディスク・ボリュームへのパスを引数として、Python スクリプトを次々と実行していった。それらのディスク・ボリュームには、複数の仮想マシン上の仮想ディスクと VM 設定ファイルが含まれていた」と述べている。

フォレンジックの専門家たちは、Python スクリプトのコピーの復元に成功した。その結果、攻撃者が設定する、複数の暗号化キーと電子メールアドレスにより、暗号化ファイルのファイル・サフィックスを選択するための、一連の変数を設定できることが発見された。攻撃者は、まず仮想マシンをシャットダウンし、データストア・ボリュームに保存されているオリジナル・ファイルの内容を上書きし、被害者が復元できないようにした後に、VM ディスクを削除していた。

彼らの分析によると、「このスクリプトは、データストアのファイル・システムを探索して、ドライブのディレクトリ・マップを作成し、ハイパーバイザー上の全ての仮想マシン名を vms.txtというファイルに書き込む。その後に、ESXi シェルコマンド vim-cmd vmsvc/power.off を、それぞれの VM に対して 1 回ずつ実行し、VM 名を変数としてコマンドに渡す。VM の電源がオフになって初めて、スクリプトはデータストア・ボリュームの暗号化を開始する。このスクリプトは、暗号化するファイルごとに1つの命令を使い、オープンソース・ツールである OpenSSL を起動して、以下のコマンドでファイルを暗号化する」という手順となる。

openssl rsautil -encrypt -inkey pubkey.txt -pubin -out [filename].txt

その後、このスクリプトは、元のファイルの内容を fuck という単語で上書きし、元のファイルを削除する。最後に、ディレクト・リリスト、VM の名前などを含むファイルを、上書きすることで削除する。

専門家たちは、このランサムウェアが実行されるたびに、固有のキーペアを作成することに気づいた。

残念ながら、ESXi サーバーに対する攻撃は頻繁になっており、BlackMatter/RansomExx/HelloKitty/REvil/Babuk Locker などの、複数のランサムウェア・ギャングが ESXi サーバーを標的にしている。

研究者たちは、「ESXi で使用されるような Linux ライクな OS で、動作するマルウェアは比較的に珍しいが、このようなサーバに対して、IT スタッフがエンドポイント・プロテクションをインストールすることは、さらに珍しい。一般的に、ハイパーバイザーは、ビジネスに不可欠なサービスなどを実行している可能性があるため、この種の攻撃にとって、極めて魅力的なターゲットになりやすい」と分析している。

彼らは、「ESXi などのハイパーバイザーを、ネットワーク上で運用している管理者は、セキュリティのベストプラクティスに従い、パスワードの再利用を避け、複雑でブルートフォースが困難な長さのパスワードを使用してほしい。また、可能な限り多要素認証の使用を有効にし、ドメイン管理者などの高い権限を持つアカウントには、MFA の使用を強制すべきだ。ESXi の場合、ESXi シェルの使用は、マシン自体の物理的なコンソール、または、VMware が提供する通常の管理ツールから、ON/OFF を切り替えることができる」と付け加えている。

どこのランサムウェアなのか分かりませんが、仕事が速いですね。ものすごい勢いで進化しているランサムウェアですが、よろしければ「ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!」をご参照ください。一言でランサムウェアといっても、同じところに立ち止まって、同じ手口を繰り返しているわけではありません。この件も、続報があると良いですね。

%d bloggers like this: