Over 500 ESXiArgs Ransomware infections in one day, but they dropped the day after
2023/02/16 SecurityAffairs — Censys の研究者たちが、「この数日において、新たな ESXiArgs ランサムウェアに 500台強のホストが感染したことが確認された。その大半は、フランス/ドイツ/オランダ/イギリスに存在している。ESXi バージョン 6.5/6.7 がサポート終了を迎えた直後である、2022年10月中旬に配布されたと思われる、きわめて類似した身代金メモを持つ2台のホスト、このインシデントの分析中に発見された」と述べている。
Censys の報告によると、似て非なる身代金メモを持つ2台のホストは、2022年10月12日に感染していたとされる。そして2023年1月31日に脅威者アクターは、この2のホストに対して、ポート 443 を介して、今回のキャンペーンと同様の身代金メモを更新した。
攻撃者は、身代金要求書の Tox チャット ID を onion の URL に置き換え、また、その末尾に Proton Mail のアドレスを追加した。さらに研究者たちは、要求される身代金の額が 2.09 Bitcoin から 1.05 Bitcoin へと減額されていることにも気づいた。
2023年2月2日以降において、このランサムウェアに数千台のシステムが感染していることが確認されている。そして 2月8日に攻撃者は、すべての感染させたホストでの、暗号化方法と身代金請求書を変更した。この変更は、暗号化された仮想マシンの復元を困難にすることを目的としている。最近の攻撃で実装された、このランサムウェアの新しい暗号化プロセスにより、大量量ファイルであっても、より多くのデータの暗号化が可能になっている。
上記のタイムラインが示唆するのは、この攻撃の当初において、一部のホストでの攻撃チェーンを、脅威アクターがテストしたことである。
Censys のレポートには、「2022年10月〜2023年2月のおける身代金メモのバリエーションは、2022年初頭に注目された、初期のランサムウェア変種 Cheerscrypt の文言が驚くほど似ている。この2つのランサムウェアは同じようなメモを残しているが、暗号化方式が異なるため、それぞれのグループによる犯行の可能性が高い」と記されている。
Censys は、「ESXiArgs ランサムウェアの活動を、グルーバル・レベルで追跡するためのダッシュボードを開発した。ダッシュボードのデータは 24時間に一度、深夜に集計される。ただし、名前付きホスト (名前ベースのリクエストが必要な仮想ホストやプロキシの背後にあるホスト) は含まれない」と指摘している。
VMware ESXi の脆弱性 CVE-2021-21974 に対して仕掛けられた、ESXiArgs ランサムウェア攻撃ですが、被害の規模や、攻撃対象、迅速な動きなどを考えると、かなり手強い相手という感じです。そして、狙われた脆弱性が、2年前の古いものだったことも、注目に値する点です。
2023/02/08:ESXiArgs の第二波攻撃:CISA は無効化?
2023/02/08:VMware:CISA が復旧ツールをリリース
2023/02/03:VMware の CVE-2021-21974:ESXiArgs の標的
IoT OT Security News 
You must be logged in to post a comment.