ごく短時間で実施されるランサムウェア攻撃が発見された。調査によって、攻撃開始から終了までの攻撃者の行動が明らかにされた。攻撃者は3時間の間に何をしていたのか。
Sophosの脅威研究者が、驚くべき速さで攻撃する新種のランサムウェアを発見した。このランサムウェアはPython製で、「VMware ESXi」サーバと仮想マシン(VM)を標的とする。この組み合わせはあまり注意されていない可能性があるため、多くの環境に重大な脅威をもたらす恐れがある。
多くのサイバー犯罪者は、被害者のシステム内を長期間動き回ってからランサムウェアをデプロイする。だが、今回発見されたランサムウェアはほんの数時間で「超高速」の「狙撃手のような」攻撃を仕掛ける。
「Sophosがこれまで調査した中で最も高速なランサムウェア攻撃だ」と話すのは、Sophosのアンドリュー・ブラント氏(主任研究員)だ。同氏が調査したインシデントの中には、侵害から暗号化までわずか3時間しかかからなかったものがあった。
調査したケースでは、攻撃が始まったのは午前0時半だった。
攻撃者は、その時点でシステムのユーザーのTeamViewerアカウントを手に入れている。このアカウントはドメインの管理権限と資格情報を持っていた。
攻撃者がESXiサーバに狙いを定め、Famatechの「Advanced IP Scanner」を使って標的内を嗅ぎ回るのに10分もかからなかった。ESXiサーバはアクティブシェルプログラミングインタフェースを備えているため、脆弱(ぜいじゃく)である可能性が高い。
次に、攻撃者は管理者のPCにリモートアクセスツールの「Bitvise」をインストールした。これにより、VMの仮想ディスクファイルを含むESXiシステムへのアクセスが可能になる。そして午前3時40分、ランサムウェアがデプロイされてファイルが暗号化された。
ブラント氏によると、このケースには攻撃者側にある程度幸運があったという。被害を受けたシステムのITチームが、サーバのシェルインタフェースの有効化/無効化を数回繰り返しており、攻撃を受けたときに偶然有効になっていた可能性がある。それで攻撃の実行がはるか容易になった。
「パッチのインストールなどの定期メンテナンス時以外は『ESXi Shell』を無効化しておくべきだ。サーバコンソールのコントロールかソフトウェア管理ツールを使ってESXi Shellを無効化できる」
ビジネスクリティカルなアプリケーションやサービスを実行している可能性がある複数のVMを一度に攻撃できることから、ESXiサーバはサイバー犯罪者にとって魅力的な標的だ。「ハイパーバイザーへの攻撃は、高速かつ非常に壊滅的になる恐れがある。DarkSideやREvilなどのランサムウェア攻撃活動はESXiサーバを攻撃の標的にしている」
「ESXiなどのハイパーバイザーを運用する管理者は、セキュリティのベストプラクティスに従う必要がある。ブルートフォース攻撃が難しいパスワードの使用や多要素認証の強制的な適用などが含まれる」(ブラント氏)
Sophosは、戦術、技法、手順(TTPs:Tactics, Techniques, and Procedures)などのランサムウェア関連資料を提供している。VMwareはESXiの保護に関するガイダンスを用意している。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/ismagilov
