ランサムウェアグループがPythonを使用してVMware ESXiサーバを攻撃していることが発覚

news

未知のランサムウェアが、Pythonスクリプトを使用してVMware ESXiサーバーにホストされている仮想マシンを暗号化していることがわかりました。

Pythonは、ランサムウェアの開発にはあまり使用されませんが、LinuxベースのサーバーにはPythonがデフォルトでインストールされているため、ESXiシステムには適している言語です。

Sophosの研究者が発見した事実によると、Pythonランサムウェアのスクリプトは、最初の侵入から3時間以内に脆弱なESXiハイパーバイザー上で動作する被害者の仮想マシンを暗号化するために使用されていたとのことです。

最近行われたランサムウェア攻撃の調査では、攻撃者がターゲットの仮想マシンのハイパーバイザー上でカスタムPythonスクリプトを実行してすべての仮想ディスクを暗号化し、組織の仮想マシンをオフラインにしていたことが判明しました。

Sophosが調査した中でも最も迅速な攻撃のひとつで、最初の侵害からランサムウェアのスクリプトが展開されるまで、攻撃者はターゲットのネットワーク上でわずか3時間強を費やしただけで、VMware ESXiサーバーの仮想ディスクを暗号化しました。

6kbのスクリプトを使って暗号化された

攻撃者はドメイン管理者がログオンしているデバイス上で動作するTeamViewerアカウントにログインして、被害者のネットワークに侵入しました。

侵入後、Advanced IP Scannerを使用してネットワーク上のターゲットを検索し、内蔵されているSSH ESXi Shellサービスを使用してESXiサーバーにログインしました。このSSH ESXi ShellサービスはITスタッフが誤って(デフォルトでは無効になっているにもかかわらず)オンにしたままでした。

その後、ランサムウェアは6kbのPythonスクリプトを実行し、すべての仮想マシンの仮想ディスクとVM設定ファイルを暗号化しました。

このスクリプトは、事件の調査中に部分的に回収されたもので、ランサムウェアは、複数の暗号化キーや電子メールアドレスを使用したり、暗号化されたファイルの接尾辞をカスタマイズしたりすることが可能です。

これは、仮想マシンをシャットダウンし、データストアボリュームに保存されている元のファイルを上書きした後、回復の試みを阻止するために削除し、暗号化されたファイルを残すようにプログラムされているようです。

ESXiやその他のハイパーバイザーを運用する管理者は、セキュリティのベストプラクティスに従い、パスワードの再利用を避け、複雑でブルートフォースが困難な適切な長さのパスワードを使用してください

可能な限り、多要素認証の使用を有効にし、ドメイン管理者などの高い権限を持つアカウントにはMFAを使用してください

また、VMware社は不正アクセスのリスクとハイパーバイザ自体の攻撃対象を制限することで、ESXiサーバのセキュリティを確保するためのアドバイスも提供しています。

Securing the ESXi Hypervisor
The ESXi hypervisor is secured out of the box. You can further protect ESXi hosts by using lockdown mode and other built...
docs.vmware.com

攻撃を受けるVMware ESXiサーバ

ESXiサーバは、ほとんどが複数の仮想マシンを同時に実行しており、ビジネスに不可欠なサービスやアプリケーションが多くの仮想マシン上に展開されているため、ランサムウェアグループにとってESXiサーバへの攻撃は非常に有効的な戦術となります。

Darkside、RansomExx、Babuk Lockerなどの複数のランサムウェアグループが、VMWare ESXiの事前認証RCE脆弱性を悪用して、企業の集中ストレージスペースとして使用されている仮想ハードディスクを暗号化して攻撃を行っています。

Pythonベースのツールが、インターネットに公開されているVMwareサーバを標的として使用された事件は、今回が初めてではなく、2021年6月にはPythonベースのマルウェア「FreakOut」が、WindowsやLinuxをターゲットにした複数のプラットフォームで動作し、デフォルトでインストールされている重要なRCE脆弱性に対してパッチが適用されていないVMware vCenterサーバに侵入するためにアップグレードされているのを発見しました。

FreakOutは、難読化されたPythonスクリプトで、ポリモーフィック・エンジンと感染したシステムに落とされた悪意のあるファイルを隠すユーザーモードのルートキットを用いて、検出を回避するように設計されています。

7月と8月には、Linux版のランサムウェア「HelloKitty」と「BlackMatter」も確認されており、いずれもVMware社のESXi仮想マシンプラットフォームを標的としています。

VMware ESXiは企業内で最も普及している仮想マシンプラットフォームの1つであるため、企業を標的としたランサムウェアのほぼすべてが、ESXi仮想マシンに特化して設計された暗号化装置の開発に着手しています。

Comments

Copied title and URL