VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia

Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern

2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。


イスラエルの Sygnia は、LockBit/HelloKitty/BlackMatter/RedAlert (N13V)/Scattered Spider/Akira/Cactus/BlackCat/Cheerscrypt などのランサムウェア・ファミリーを含むインシデント対応を通じて、仮想化環境に対する攻撃が、類似する一連の行動をとっていることを発見した。

一連の行動には、以下のステップが含まれる:

  • フィッシング攻撃/悪意のファイルのダウンロード/インターネットに面した資産の既知の脆弱性の悪用などにより、イニシャル・アクセスを獲得する。
  • ブルートフォース攻撃などの方法を使用して、ESXi ホストや vCenter の認証情報を取得するために、権限を昇格させる。
  • 仮想化インフラへのアクセスを検証し、ランサムウェアを展開する。
  • バックアップ・システムの削除/暗号化を行い、場合によってはパスワードの変更を行い、復旧作業を複雑にする。
  • 窃取したデータを、Mega.io/Dropbox/自社ホスティング・サービスなどの、外部ロケーションへと流出させる。
  • ランサムウェアを実行して、ESXi ファイル・システムの /vmfs/volumes フォルダを暗号化する。
  • ランサムウェアを、仮想化されていないサーバ/ワークステーションに伝播させ、攻撃範囲を広げる。

このような脅威がもたらすリスクを軽減するために推奨されるのは、適切な監視とロギングの実施/強固なバックアップ・メカニズムの構築/強固な認証対策の実施/環境のハード化/横移動を防ぐためのネットワーク制限などの実施だ。

サイバー・セキュリティ企業 Rapid7 は、2024年3月初旬から進行中のキャンペーンについて、警告を発している。そのキャンペーンとは、一般的に使用されている検索エンジンに悪意の広告を掲載し、タイポスクワット・ドメイン経由で WinSCP/PuTTY のトロイの木馬化インストーラーを配布し、最終的にランサムウェアをインストールするというものだ。

これらの偽のインストーラーは、Sliver のポスト・エクスプロイト・ツールキットをドロップするためのコンジットとして機能する。その後に、ランサムウェアの展開に活用される Cobalt Strike Beacon を取り込んだ、多様なペイロード配信に使用される。

このキャンペーンは、Nitrogen マルウェアを配信するキャンペーンの一環であり、イニシャル・アクセス手段としてマルバタイジングを使用する、以前の BlackCat ランサムウェア攻撃と戦術的に重複している。

セキュリティ研究者である Rapid7 の Tyler McGraw は、「このキャンペーンは、IT チームのメンバーに悪影響を及ぼす可能性がある。つまり、彼らが正規のバージョンを探す際に、誤ってトロイの木馬化されたファイルをダウンロードしてしまう恐れが生じる。脅威アクターたちは、マルウェアの実行を成功させて足場を獲得し、その後の管理操作の実行意図を不明瞭にさせ、分析を妨げることができる」と述べている。

Ransomware Attacks

今回の情報公開は、BeastMorLockSynapseTrinity といった、新たなランサムウェア・ファミリーの出現に続くものだ。MorLock グループは、ロシア企業を主な標的とし、ファイルを流出させることなく暗号化している。

Group-IB のロシア支部である F.A.C.C.T. は、「MorLock は、データへのアクセス回復と引き換えに、多額の身代金を要求し、その規模は数千万〜数億 RUB になることもある」と述べている。

NCC Group のレポートによると、2024年4月の世界のランサムウェア攻撃件数は、前月の 421件から 356件へと、15%ほど減少している。これは、2024年始めの LockBit が法執行機関のテイクダウンにより、活動が減少したことが寄与しているものと思われる。

NCC Group は、「LockBit 3.0 の活動は、3月に観測された攻撃の半数未満にとどまり、8カ月間にわたる最も活発な脅威グループとしての地位から転落した。その代わりに、Play が最も活発な脅威グループとなり、その次に Hunters が続いている」と説明している。

ランサムウェアの世界は、サイバー犯罪者たちが、データ流出/追加のマルウェアの展開/ランサムウェア攻撃の促進などに利用する、hVNC (hidden Virtual Network Computing) /PandoraTMChecker などのような、リモート・アクセス・サービスの悪用により、以前よりも混沌を深めている。

Resecurity は、「複数の IAB (initial access brokers) やランサムウェア・オペレーターたちは、TMChecker を使用して、利用可能な侵害データをチェックし、企業 VPN や電子メール・アカウントへの有効な認証情報の存在を確かめている。TMChecker は、一次的な悪用のために、あるいは、二次市場で他の脅威アクターに販売するために、影響力の大きい企業アクセスを得ようとする、脅威アクターの参入障壁を実質的に低下させている。昨今の TMChecker の悪用の増加は、注目に値する」と述べている。

VMware ESXi の脆弱性を悪用して、その仮想環境を標的とするランサムウェア攻撃の手口が整理されていて、とても参考になる記事ですね。そこにフィッシングなどを絡めることで、攻撃の効率を上げているようです。ありとあらゆる侵害の手法が用いられていますが、それらが類似/重複しているところが懸念されています。一連の攻撃を、背後で操る何者かが、いるのかもしれません。よろしければ、カテゴリ Ransomware も、ご利用ください。