Geek Snipe

ESXiArgs暗号化マルウェアがVMware ESXiサーバーに大規模な攻撃を開始

ホスティングプロバイダとCERT-FRは警告しています:新しいランサムウェア「ESXiArgs」が最近の大規模なハッキングキャンペーンで3,200台以上のVMware ESXiサーバーを侵害しました。攻撃者は2年前の脆弱性(CVE-2021-21974)を利用して、OpenSLP(ポート427)で脆弱なサーバーにリモートコマンドを実行します。この脆弱性は、認証されていない攻撃者によって利用されるOpenSLPの動的メモリオーバーフローに関連しています。この脆弱性は、ESXiバージョン7.x、ESXiバージョン6.7.x、およびESXiバージョン6.5.xに影響します。

被害者のシステム内に侵入した後、ランサムウェアはESXiサーバー上のファイルを暗号化して、ビットコインで50,000ドルの身代金を要求する身代金要求メモを残します。暗号化されたファイルには.vmxf.vmx.vmdk.vmsd.nvramといった拡張子がつきます。OVHcloudの専門家による分析は、ネバダ暗号化エンジンが攻撃の背後にあったことを示唆しています。

CERT-FRの専門家は、以前に利用可能だったパッチのインストールと、侵害の兆候のあるすべての脆弱なシステムのチェックを推奨しています。最後の手段として、OpenSLPの無効化を推奨しています。

IS専門家Michael Gillespieによるマルウェアの分析は、暗号化者に犠牲者が身代金を支払わずにファイルを回復させる弱点がないことを示しています。マルウェアはSosemanuk暗号化アルゴリズムを使用しています。マルウェア運用者はデータを暗号化する前に盗むと主張していますが、被害者はこの情報を否定しており、彼らのトラフィック統計にはデータ盗難の兆候が見られません。

この問題に対するエクスプロイトは2021年春に利用可能になっており、バグが公開された直後に登場しました。なぜ攻撃者がこのバグを利用するのに今まで待っていたのか全く不明です。

CERT-FR専門家は、できるだけ早く長らく利用可能だったパッチをインストールし、侵害の兆候がないかすべての脆弱なシステムをチェックすることを強く推奨しています。最後の手段として、専門家は少なくともOpenSLPを無効にすることを推奨しています。

クラウドサービスプロバイダOVHcloudの専門家は、最近のネバダ暗号化エンジンが大量の攻撃の原因だと非難しました。専門家は「攻撃は主にOpenSLPポート(427)を介してバージョン7.0 U3iまでのESXiサーバーを対象としています」と述べました。

同時に、他の専門家は、バブク暗号ランサムウェアのリークされたソースに基づいていると思われるCheerscryptランサムウェアのバージョンが攻撃の背後にあると推測しました。

Bleeping Computerの報告によると、被害者はアクティブにコミュニケーションをとり、そのフォーラムで助けを求めています。収集されたデータによると、影響を受けた組織のほとんどはクラウドプロバイダーからリースされたESXiサーバーを使用していました。

ランサムウェアは、侵害されたサーバーの.vmxf、.vmx、.vmdk、.vmsd、および.nvram拡張子のファイルを暗号化し、暗号化されたドキュメントごとにメタデータを含む.argsファイルを作成します(おそらく復号化に必要です)。

for volume in $(IFS='\n' esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F'  ''{print $2}'); do
    echo "START VOLUME: $volume"
    IFS=

    # Enter fullscreen mode Exit fullscreen mode

    for file_e in $( find "/vmfs/volumes/$volume/" -type f \
        -name "*.vmdk" -o \
        -name "*.Vmx" -o \
        -name "*.vmxf" -o \
        -name "*.vmsd" -o \
        -name "*.vmsn" -o \
        -name "*‚vswp" -o \
        -name "* vmss" -o \
        -name "* .nvram" -o \
        -name "* . vmem")
    do
        if [[ -f "$file_e" ]]; then 
            size_kb=$(du -k $file_e | awk '{print $1}')
            if [[ $size_kb -eq 0 ]]; then
                size_kb=1
            fi
            size_step=0
            if [[ $(($size_kb/1024)) -gt 128 ]]; then
                size_step=$((($size_kb/1024/100)-1))
            fi 
            echo "START ENCRYPT: $file_e SIZE: $size_kb STEP SIZE: $size_step" "\"$file_e\" $size_step 1 $((size_kb*1024))"
            echo $size_step 1 $((size_kb*1024)) > "$file_e.args"
            nohup $CLEAN_DIR/encrypt $CLEAN_DIR/public.pem "$file_e" $size_step 1 $((size_kb*1024)) > /dev/null 2>&1&
        fi
    done
    IFS=$" "
done

# Enter fullscreen mode Exit fullscreen mode

フランスのクラウドプロバイダOVHとフランスのCERTが最初に事件を報告しましたが、それは影響を受けたサーバーのほとんどがフランスに位置していたからです。Censys(ランサムノートファイルの検索)によると、これまでに3,200台以上のサーバーが暗号化され、その約3分の1がフランスに位置しています。

こちらの記事はdev.toの良い記事を日本人向けに翻訳しています。
https://dev.to/xakrume/esxiargs-encryption-malware-launches-massive-attacks-against-vmware-esxi-servers-pfe

タグ

securityに関連する記事
vmwareに関連する記事
esxiに関連する記事
ovhに関連する記事

最新の記事

画像
#failure#digitalocean#kubernetes
Digital OceanのKubernetesチャレンジに失敗
画像
#devops#cybersecurity#infosec#devsecops
ソフトウェア構成分析の実行方法
画像
#svelte#sveltekit#tailwindcss#webdev
TailwindCSSをSvelteKitで使う方法
画像
#javascript#webdev#programming
JavaScriptの「Strict Mode」とは?
画像
#webdev#programming#opensource#architecture
ECサイト内検索を最適化する8つのコツ
画像
#twitter#api#discuss
TwitterのAPI利用に2月9日から課金開始
画像
#javascript#tutorial#node#productivity
自分のCRMをNotionとHazel Baseで自動化する
画像
#owasp#appsec#cryptographic
OWASPトップ2 "暗号的な失敗"を開発者に説明する
画像
#flutter#frontend#beginners#abotwrotethis
Flutterフロントエンド開発者のための要点