ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権
今日は何の日
GPT-5
インタビュー
Google
Apple
AWS
OpenAI
Anthropic
Meta
Microsoft
XREAL
Android XR
Nvidia
ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

Malloxランサムウェア、VMWare ESXi環境を狙う新攻撃手法を展開

[公開]

[更新]2024年6月7日12:16

Malloxランサムウェア、VMWare ESXi環境を狙う新攻撃手法を展開 - innovaTopia - (イノベトピア)

Malloxランサムウェアグループが、VMWare ESXi環境を対象にLinuxバリアントを用いた新たな攻撃手法を採用している。この手法は、高いユーザー権限を持つマシンのみにペイロードを配信し実行する。Trend Microの研究者によって発見されたこのバリアントは、対象システムがVMWare ESXi環境で動作しており、管理権限を有しているかを特定し、これらの要件を満たさない場合は攻撃を行わない。

Malloxは2021年6月に初めて確認され、世界中の数百の組織に感染していると主張している。このグループが特に狙うセクターには、製造業、小売業、卸売業、法律関連サービス、専門サービスが含まれる。今年、Malloxは台湾、インド、タイ、韓国で最も活動的であった。

このLinuxバリアントは、仮想化環境にランサムウェアを配信し実行するためのカスタムシェルスクリプトを使用していることが初めて確認された。また、この攻撃は「vampire」と呼ばれるMalloxのアフィリエイトによって行われており、より広範なキャンペーンと高額な身代金要求に関与していることを示している。

このバリアントは、実行可能ファイルが管理権限で実行されているかを確認し、そうでない場合は活動を続けない。実行後、被害者情報を含むTargetInfo.txtというテキストファイルをドロップし、コマンドアンドコントロール(C2)サーバーに送信する。また、このバリアントは、システムがVMWare ESXiハイパーバイザーで動作しているかを確認し、該当する場合は暗号化ルーチンを展開し、暗号化されたファイルに”.locked”拡張子を追加し、HOW TO DECRYPT.txtという身代金要求ノートをドロップする。

さらに、カスタムシェルスクリプトは、ランサムウェアがルーチンを実行した後、被害者情報を別のサーバーにも送信する。これは、サーバーがオフラインになったり、侵害されたりした場合に備えて冗長性を高め、バックアップを持つ目的である。

MalloxによるLinux環境、特にVMware ESXiを実行する環境への攻撃の拡大は、これらの環境を持つ組織に対して、再び警戒を促している。研究者は、多要素認証(MFA)の有効化、重要ファイルのバックアップに関する「3-2-1ルール」の遵守、システムの定期的なパッチ適用と更新など、実証済みのサイバーセキュリティ対策の実施を推奨している。

【ニュース解説】

Malloxランサムウェアグループが、VMWare ESXi環境を標的にした新たなLinuxバリアントを用いた攻撃手法を採用していることが、セキュリティ研究者によって発見されました。この攻撃は、特定のシステムがVMWare ESXi環境で動作しており、かつ管理権限を持っている場合にのみ実行されるという特徴を持っています。このような条件を満たさないシステムに対しては、攻撃は行われません。

Malloxグループは2021年に初めて確認され、以来、世界中の多数の組織を感染させてきました。このグループが特に狙うセクターには、製造業、小売業、卸売業、法律関連サービス、専門サービスなどが含まれます。今年に入ってからは、特に台湾、インド、タイ、韓国で活動が活発になっています。

この新たなLinuxバリアントは、カスタムシェルスクリプトを使用して仮想化環境にランサムウェアを配信し、実行することが特徴です。この攻撃は、Malloxのアフィリエイトである「vampire」によって行われており、より広範囲なキャンペーンと高額な身代金要求に関与していることが示されています。

このバリアントは、実行可能ファイルが管理権限で実行されているかどうかを確認し、条件を満たさない場合は活動を停止します。実行後には、被害者情報を含むテキストファイルをドロップし、これをコマンドアンドコントロールサーバーに送信します。また、システムがVMWare ESXiハイパーバイザーで動作しているかどうかを確認し、該当する場合には暗号化ルーチンを展開します。

この攻撃手法の拡大は、Linux環境、特にVMware ESXiを実行している環境を持つ組織にとって、新たな警戒が必要であることを示しています。組織は、多要素認証(MFA)の有効化、重要ファイルのバックアップに関する「3-2-1ルール」の遵守、システムの定期的なパッチ適用と更新などのサイバーセキュリティ対策を実施することが推奨されます。

この攻撃手法の採用は、ランサムウェアグループがより洗練された方法を用いて攻撃の範囲を広げていることを示しており、組織はこれに対応するために、セキュリティ対策を常に更新し、強化する必要があります。また、攻撃が成功した場合の影響を最小限に抑えるために、事前の準備と迅速な対応が重要です。

from Mallox Ransomware Variant Targets Privileged VMWare ESXi Environments.

投稿者アバター
admin
自己紹介の全文を表示

今日は何の日?

読み込み中…
advertisements
読み込み中…

Follow US