ESXiサーバーは、クラウドコンピューティングのVMware社が提供している仮想化のためのハイパーバイザーです。コンピューターにハイパーバイザーをインストールすることで仮想マシンを構築することができます。サイバーセキュリティのソフォスは、ハイパーバイザーのESXiサーバーと仮想マシンを狙ったPythonで書かれた新たなランサムウェア攻撃を確認したと表明しています。
ログインから暗号化まで3時間
ソフォスによると、攻撃者はまずドメイン管理者の資格をもつユーザーのコンピューター上のバックグラウンドで実行されているTeamViewerのアカウントにログインしたということです。TeamViewerはリモートデスクトップツールで、TeamViewerがインストールされた外部のコンピューターと遠隔操作でつながることができます。ソフォスが確認したケースでは、TeamViewerアカウントへのログイン時に多要素認証は設定されていませんでした。
TeamViewerアカウントへのログインが午前0時30分に行われ、その10分後にはAdvanced IP Scannerというネットワークスキャナーが投下されて、ネットワークをスキャンして ESXiサーバーに狙いが定められました。午前2時前、攻撃者はBitviseと呼ばれるリモートアクセスソフトウェアをダウンロードし、Bitviseを使ってESXiサーバーにログインしたということです。ソフォスによると、ESXiサーバーにはESXi Shellと呼ばれる管理者が任意で有効化できるSSHサービスが組み込まれており、攻撃者が侵入した時、ESXi Shellが有効化されたままの状態で、攻撃者にその状況が利用されたということです。
ESXiシステムと仮想マシンが使用する仮想ディスクファイルにリモートでアクセスした攻撃者は、午前3時40分頃にプログラミング言語のPythonで書かれたスクリプトを展開してESXiサーバーでホストされていた仮想ハードドライブを暗号化しました。このスクリプトはわすが6KBしかないということです。そして暗号化を終えると、このスクリプトは元のファイルの内容をfuckという単語で上書きして削除するということです。
特別設計のLinuxバージョンのランサムウェア展開も
ソフォスの主席研究員、Andrew Brandt氏は「この攻撃は、これまで調査したなかで最も速いランサムウェア攻撃であり、ESXiプラットフォームを正確に狙っています。Pythonは、ランサムウェアではあまり使用されないプログラミング言語ですが、ESXiなどのLinuxベースのシステムにはプリインストールされていることから、そのようなシステム上ではPythonを用いた攻撃が可能になります。ESXiサーバーを侵害することで、重要な業務アプリケーションやサービスを実行している可能性のある複数の仮想マシンを一度に攻撃できるため、ランサムウェア攻撃者にとっては格好の標的になります」と話しています。
ソフォスは、「ESXiサーバーやその他のハイパーバイザーをネットワーク上で運用している管理者は、セキュリティのベストプラクティスに従うべき」だとし、総当たり攻撃によって推測されない固有のパスワードを使うことや、多要素認証を行うことをあげるとともに。ESXiシェルは従業員が使用していないときには無効にしておくべきだとしています。
サイバーセキュリティのクラウドストライクによると、2020年の後半にランサムウェアの攻撃者であるSPRITESPIDERとCARBONSPIDERがESXiサーバーに影響を与えるように特別に設計されたLinuxバージョンのランサムウェアを展開したということです。この時の攻撃ではESXiサーバーに侵入することは出来なかったようですが、ESXiサーバーに対するランサムウェア攻撃は、ターゲットに対して影響を及ぼす範囲を拡大することができ、身代金要求の圧力をかけやすいことからクラウドストライクは「中期的にはより多くの攻撃者が仮想化インフラを標的にし始める可能性がある」と指摘しています。ソフォスも「ハイパーバイザーへの攻撃は迅速かつ高い破壊力をもっており、DarkSideやREvilなどのランサムウェアのオペレーターもESXiサーバーを攻撃の対象としています」としています。
■出典
https://www.crowdstrike.com/blog/carbon-spider-sprite-spider-target-esxi-servers-with-ransomware/