VMware ESXiやその他の仮想マシン・プラットフォームを標的としたランサムウェア攻撃は、企業に大混乱を引き起こし、広範囲に混乱とサービスの損失をもたらしている。
先月、社内システム、ウェブサイト、モバイルアプリ、電話をダウンさせたパネラの大規模なIT障害は、同社の仮想マシンを暗号化したランサムウェア攻撃によるものだった。
同社はバックアップからサーバーを復旧させることができたが、システムの復旧には1週間近くかかった。
同様に、オムニ・ホテルも大規模な障害に見舞われ、同社の予約システム、電話、ドアロックシステムがダウンした。この障害は非常に深刻で、カードキーが使えなかったため、宿泊客が客室に入るにはホテルの従業員に連絡しなければならなかった。
オムニ・ホテルは数日後、サイバー攻撃を受けたことを確認し、それが再び同社の仮想マシンを暗号化するランサムウェア攻撃であったことを知った。
今週、チリのホスティング・プロバイダーであるIxMetro Powerhostもランサムウェア攻撃を受け、脅威者がホスティング会社のVMware ESXIサーバーを暗号化したことを公表した。これらのサーバーは顧客の仮想専用サーバー(VPS)に電力を供給し、顧客のウェブサイトもダウンさせた。
残念ながら、Panera社やOmni Hotels社ほど幸運ではありませんでしたが、脅威者は同社のバックアップも暗号化しました。SEXiとして知られるこの攻撃の背後にいる脅威行為者は、復号化装置を受け取るために、顧客ごとに2ビットコインを要求した。
VMware ESXiのような仮想マシン・プラットフォームは、企業にとってリソースやサーバーの管理を非常に容易にする一方で、ランサムウェア集団にとっては非常に魅力的な標的にもなっている。
企業のサーバーが仮想マシンとして集中管理されるようになったことで、脅威者は1台のVMwareサーバーを暗号化するだけで、企業の業務に大規模な混乱をもたらすことができるようになった。
管理者は、仮想マシン・ソフトウェアとホスト・オペレーティング・システムに最新のセキュリティ・アップデートを適用し、Windowsドメインとは異なる管理者認証情報を使用し、より厳格なアクセス制御を適用することで、仮想マシン・プラットフォームのセキュリティを強化する必要があります。
本日、チリ政府のCSIRTは、VMwareソフトウェアを最新バージョンにアップグレードするよう企業に警告するアドバイザリーを発表し、サーバーの安全確保に関するアドバイスを提供した。
仮想マシンを標的とする攻撃者は今に始まったことではないが、今週の攻撃は、仮想マシンが重要なITシステムであり、悲惨な機能停止を防ぐために適切なセキュリティ保護が必要であることを示し続けている。
今週の新しいランサムウェア情報やストーリーを提供したコントリビューターや関係者は以下の通り:fwosar、@LawrenceAbrams、@billtoulas、@BleepinComputer、@serghei、@Ionut_Ilascu、@Seifreed、@malwrhunterteam、@demonslay335 、@1ZRR4H、BushidoToken、@pcrisk、@JakubKroustek、@AJVicens、@TrendMicro、@AlexMartin、@jgreigj、@TheDFIRReport、@SonicWall、@CSIRTGOB。
2024年4月1日
ヨット小売業者マリンマックス、サイバー攻撃によるデータ漏洩を公表
世界最大級のレクリエーション用ボートとヨットの小売業者であるマリンマックスは、攻撃者が3月のサイバー攻撃で同社のシステムに侵入し、従業員と顧客のデータを盗んだと発表した。
OneNoteからRansomNoteへ:氷のように冷たい侵入
この侵入は2023年2月下旬に始まり、3月下旬まで続きました。当初、脅威者はフィッシングキャンペーンを通じてアクセス権を獲得し、悪意のあるOneNoteの添付ファイルを含む電子メールを配信しました。この時期、OneNoteファイルは初回アクセスブローカーの間で人気が急上昇していました。この増加の主な原因は、電子メールの添付ファイルのブロックルールを回避し、既存のセキュリティメカニズムによる検出を回避できることでした。
2024年4月2日
オムニ・ホテル、金曜日から全国的なIT障害が発生
オムニ・ホテルズ&リゾーツは、金曜日にITシステムをダウンさせ、予約、ホテルの部屋のドアロック、POS(販売時点情報管理)システムに影響を与えたチェーン全体の障害を経験している。
新しい GlobeImposter の亜種
PCriskは、拡張子.schrodingercatを付加し、how_to_back_files.htmlというランサムノートをドロップする新しいGlobeImposter亜種を発見しました。
2024年4月3日
ジャクソン郡、ランサムウェア攻撃を受けて非常事態に
ミズーリ州ジャクソン郡は、火曜日にランサムウェア攻撃により郡のサービスの一部が停止したため、非常事態に陥っている。
ホスティング会社のVMware ESXiサーバが新たなランサムウェアSEXiに感染
チリのデータセンターおよびホスティングプロバイダーであるIxMetro Powerhostが、SEXiとして知られる新しいランサムウェアの手によってサイバー攻撃を受け、同社のVMware ESXiサーバーとバックアップが暗号化された。
オムニ・ホテルズ、IT機能停止の背景にサイバー攻撃があったことを確認
オムニ・ホテルズ&リゾーツは、サイバー攻撃によって全国的なIT障害が発生したことを確認しました。
フォールアウトの解明画期的な混乱に見舞われたオペレーション・クロノスのロックビットへの影響
当社の新しい記事では、Operation CronosによるLockBitの業務妨害の主なハイライトと要点、およびLockBitのアクターが混乱後にどのように業務を行ったかについての遠隔測定による詳細を提供しています。
Chaos ランサムウェアの運営者が復号化ツールを無償提供
SonicWall CaptureLabs脅威リサーチチームは最近、Chaosランサムウェアビルダーを使用して作成されたランサムウェアを追跡しています。このビルダーは2021年6月に登場し、多くのオペレーターによって被害者を感染させ、ファイル取得のための支払いを要求するために使用されてきました。私たちが分析したサンプルは、解読プログラムを自由に提供したオペレーターとの会話につながりました。
新しい STOP ランサムウェアの亜種
PCrisk は、.uazqおよび.uajs拡張子を付加する新しい STOP ランサムウェアの亜種を発見しました。
2024年4月4日
レスター市議会、機密文書流出後のランサムウェア攻撃を確認
イギリスのレスター市議会は、先月発生したサイバー事件がランサムウェア攻撃であったことを確認しました。この事件の背後にいる犯罪者が、盗んだ文書をダークウェブの恐喝サイトにアップロードしていたことを知らされたためです。
新しい「Unkno」ランサムウェア
PCriskは、リークされたBabukのソースコードに基づき、.unknoを付加し、RESTORE_YOUR_FILES.txtという名前のランサムウェアをドロップする新しいランサムウェアを発見しました。
新しいChaosランサムウェアの亜種
PCriskは、LEIA-ME.txtというランサムノートをドロップし、ランダムな拡張子を追加する新しいChaosランサムウェアの亜種を発見しました。
パラオの名声に対する攻撃」:当局、ランサムウェア事件の真犯人を疑う
1つはLockBitランサムウェアの一団がプリンター内の紙に書いたもので、もう1つはDragonForceランサムウェアの一団がPalauの暗号化された文書と一緒に置いたREADMEテキストファイルに書かれたものだった。
2024年4月5日
ランサムウェア攻撃によるパネラブレッドの1週間のIT停止
パネラブレッドが最近1週間にわたって実施したIT障害は、ランサムウェア攻撃によるものであったと、この件に詳しい関係者や.NETが見た電子メールが伝えている。
ALPHV、Change Healthcareの身代金支払いのロンダリングを強化
米国の医療システムの一部を麻痺させる攻撃を実行してから6週間後、この事件に関連するサイバー犯罪集団は、侵害に関与したハッカーが控えめな態度を維持し続けているにもかかわらず、身代金の支払いとされる代金の資金洗浄のペースを上げている。
新しいMakop亜種
PCriskは、拡張子.datahを付加する新しいMakop亜種を発見しました。
新しいランサムウェアの亜種
PCriskは、拡張子.rincryptを付加し、READ THIS.txtというランサムノートを投下する新しいpythonランサムウェアを発見しました。
新しいSTOPランサムウェアの亜種
Jakub Kroustekは、.kaaa拡張子を追加する新しいSTOPランサムウェアの亜種を発見しました。
新しい Dharma ランサムウェアの亜種
Jakub Kroustekは.hunt拡張子を追加する新しいDharma亜種を発見しました。
Comments