innovaTopia

Tech for Human Evolution

VMware ESXiサーバー狙う新ランサムウェア、Agendaが世界を脅かす

VMware ESXiサーバー狙う新ランサムウェア、Agendaが世界を脅かす - innovaTopia - (イノベトピア)

Last Updated on 2024-07-11 07:46 by admin

Agenda(別名Qilin、Water Galura)というランサムウェアグループが、VMware ESXiサーバーを標的とした新たなランサムウェアのバリアントで世界中の感染を拡大している。このグループは2022年に初めて確認され、当初はGolangベースのランサムウェアを使用して、カナダからコロンビア、インドネシアまでの様々な分野のターゲットに対して攻撃を行っていた。2022年末には、マルウェアをRust言語で書き直し、米国を中心にアルゼンチン、オーストラリア、タイなどで金融、法律、建設分野の組織を侵害した。

Trend Microは最近、新しいRustベースのバージョンを発見し、このバージョンは新しい機能とステルス機構を備え、VMware vCenterおよびESXiサーバーを明確に狙っている。このランサムウェアは、Cobalt Strikeやリモート監視・管理(RMM)ツールを介して配信されたバイナリ経由で感染を開始し、vCenterおよびESXiサーバー全体に拡散するためのPowerShellスクリプトが組み込まれている。感染が広がると、マルウェアはすべてのESXiホストのrootパスワードを変更し、所有者をロックアウトした後、SSHを使用して悪意のあるペイロードをアップロードする。

この新しいAgendaマルウェアは、前身と同じ機能を共有しているが、特権のエスカレーション、トークンの偽装、仮想マシンクラスターの無効化など、新しいコマンドを追加している。また、ランサムノートを印刷するという新しい機能も追加されている。攻撃者はこれらのコマンドをシェル経由で積極的に実行し、証拠としてファイルを残さずに悪意のある行動を実行できる。

さらに、Agendaは最近のランサムウェア攻撃者の間で人気のあるトレンドであるBYOVD(Bring Your Own Vulnerable Driver)を利用し、脆弱なSYSドライバーを使用してセキュリティソフトウェアを回避することで、そのステルス性を高めている。Trend Microは、管理権限を密接に監視し、セキュリティ製品を定期的に更新し、スキャンとデータのバックアップを実施し、社員にソーシャルエンジニアリングについて教育し、厳格なサイバーハイジーンを実践することを推奨している。

【ニュース解説】

Agenda(別名Qilin、Water Galura)というランサムウェアグループが、VMware ESXiサーバーを標的にした新たな攻撃波を引き起こしています。このグループは2022年に初めて確認され、当初は様々な分野のターゲットに対してGolangベースのランサムウェアを使用して攻撃を行っていました。2022年末には、マルウェアをRust言語で書き直し、さらに多くの国々で金融、法律、建設分野の組織を侵害しました。

最近、Trend Microによって新しいRustベースのバージョンが発見されました。このバージョンは新しい機能とステルス機構を備え、特にVMware vCenterおよびESXiサーバーを狙っています。感染は、Cobalt Strikeやリモート監視・管理(RMM)ツールを介して配信されたバイナリ経由で開始され、PowerShellスクリプトを使用してvCenterおよびESXiサーバー全体に拡散します。感染が広がると、マルウェアはESXiホストのrootパスワードを変更し、所有者をロックアウトした後、SSHを使用して悪意のあるペイロードをアップロードします。

この新しいAgendaマルウェアは、特権のエスカレーション、トークンの偽装、仮想マシンクラスターの無効化など、新しいコマンドを追加しています。また、ランサムノートを印刷するという新しい機能も追加されています。攻撃者はこれらのコマンドをシェル経由で積極的に実行し、証拠としてファイルを残さずに悪意のある行動を実行できます。

さらに、AgendaはBYOVD(Bring Your Own Vulnerable Driver)を利用し、脆弱なSYSドライバーを使用してセキュリティソフトウェアを回避することで、そのステルス性を高めています。Trend Microは、管理権限を密接に監視し、セキュリティ製品を定期的に更新し、スキャンとデータのバックアップを実施し、社員にソーシャルエンジニアリングについて教育し、厳格なサイバーハイジーンを実践することを推奨しています。

このニュースは、ランサムウェア攻撃がますます巧妙化し、多様化していることを示しています。特に、VMware ESXiサーバーのような重要なインフラを標的にすることで、攻撃者は企業や組織に甚大な影響を与えることができます。このような攻撃から身を守るためには、最新のセキュリティ対策の適用、従業員教育、そして定期的なバックアップが不可欠です。また、この事例は、サイバーセキュリティの重要性が高まっている現代において、組織が常に警戒を怠らず、攻撃者が利用可能な新たな手法や脆弱性に対して迅速に対応する必要があることを強調しています。

from Worldwide Agenda Ransomware Wave Targets VMware ESXi Servers.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » VMware ESXiサーバー狙う新ランサムウェア、Agendaが世界を脅かす

“VMware ESXiサーバー狙う新ランサムウェア、Agendaが世界を脅かす” への1件のコメント

  1. 鈴木 一郎のアバター
    鈴木 一郎

    最近のこのAgendaランサムウェアグループの行動を見て、私は驚くばかりです。私の若い頃と比べて、世界は確かに大きく変わりました。それにしても、ランサムウェア攻撃がここまで巧妙かつ複雑になるとは思いもよりませんでした。私が若かったころは、こんなにも高度な技術が使われる犯罪など想像もできなかったですからね。

    特に、VMware ESXiサーバーのような重要なインフラを狙うというのは、攻撃の影響が大きく、企業や組織にとって非常に深刻な問題です。このようなサーバーは多くの場合、企業の中枢を担っているため、攻撃されるとその影響は計り知れません。私が働いていた会社でも、情報システムの安全性は常に重要視されていましたが、今のような攻撃の脅威には十分対応できていたかどうか疑問です。

    Trend Microが提案しているように、管理権限の監視、セキュリティ製品の定期的な更新、スキャンとデータのバックアップの実施、そして特に従業員へのソーシャルエンジニアリングに関する教育と厳格なサイバーハイジーンの実践は、今日の企業にとって必要不可欠な対策と言えるでしょう。私の