ランサムウェアグループが、最近公開された脆弱性の悪用を利用して、パッチが適用されていない Confluence と GitLab のサーバーに侵入し、ファイルを暗号化した上で、サーバーの所有者にデータを回復するための身代金の支払いを要求していることがわかりました。
現在、「Cerber」と名乗るランサムウェアが活動しており、Windows版とLinux版が存在しています。
IDRでは,Linux(複数の被害者がgitファイルを暗号化された)とWindowsユーザーの両方の被害者をさまざまな国で確認しています。
この攻撃は、セキュリティ研究者のMalwareHunterTeamとTencent Securityによって発見されたもので、これまでに数百台のサーバーが攻撃を受けており、WindowsとLinuxの両方のシステムが攻撃の被害にあっています。
被害を受けたサーバーは、暗号化された各ファイルの末尾に「.locked」というファイル拡張子が追加されていることで識別できます。
ConfluenceやGitHubのサーバーが攻撃を受けると、404エラーが返されるようになり、ユーザーがアカウントにログインできなくなります。
管理者が調査を行うと、最終的に「$RECOVERY_README$$.html」というファイルを見つけ、その中に攻撃者の身代金要求が含まれています。
身代金要求書は、2016年から2019年にかけて活動していた、今は活動を停止しているはずのランサムウェア「Cerber」が使用していたものと同じです。
しかし、コードを分析すると、これはまったく別のランサムウェアであり、単に他のランサムウェアブランドを乗っ取って、被害者を脅してお金を払わせてファイルへのアクセスを回復させようとするもののようです。
Tencent社によると、このグループは、CVE-2021-26084とCVE-2021-22205を悪用して、それぞれConfluenceとGitLabのサーバーに侵入しています。
どちらの脆弱性もリモートコード実行の脆弱性であり、パッチが適用されていないシステムを攻撃者が完全に制御できるようになるため、ランサムウェアの実行やファイルの暗号化が可能な状態になっています。
どちらの問題も今年初めに公開されているもので、パッチが提供されており、それぞれ9月と11月に複数の脅威グループによって悪用されているため、システムを利用しているシステム管理者は現時点で古いシステムを使い続けていることになり、早急にパッチを当てる必要があります。
Sophos社のレポートによると、Confluenceサーバーは2021年10月以降、ランサムウェア「Atom Silo」の標的にもなっています。
SophosのMTR Rapid Responseチームは、Atom Siloと呼ばれる最近出現した脅威グループによるランサムウェア攻撃を調査しました。2日間にわたって行われたこの攻撃は、最近明らかになったコラボレーションソフトウェア「Confluence」の脆弱性を利用して、初期アクセスを行い攻撃を実行しました。
Tencent社によると、新Cerberの被害者の大部分は、現在中国、ドイツ、米国に置かれています。
攻撃者は、暗号化されたファイルを復号するシステムを見返りに0.04ビットコイン(~2,000ドル)を要求しており、この金額は5日後には2倍になっています。
Comments