SEXiランサムウェア、VMwareサーバーを狙う国際的攻撃波紋

Last Updated on 2024-04-17 15:01 by TaTsu

Babukの新しい変種であるSEXiランサムウェアが、VMware ESXiサーバーを標的にした攻撃を複数の国で実施している。このランサムウェアは、チリのデータセンターホスティング会社IxMetro PowerHostを含むいくつかの攻撃で確認され、1件の攻撃では1億4000万ドルの身代金が要求された。

この攻撃は、Babukソースコードに基づいてマルウェアを開発した脅威アクターの増加と、VMware EXSiサーバーへの関心の高まりという、2つの主要なランサムウェアトレンドの交差点にある。

さらに、EquinixのCTI研究者であるWill Thomasは、この攻撃に関連すると思われるバイナリを発見し、それがラテンアメリカの少なくとも3カ国での攻撃と関連していることを示唆している。これらの攻撃には、チリ、ペルー、メキシコでの攻撃が含まれる。

攻撃者の出所や意図については明らかではないが、徐々に特定の戦術、技術、手順が明らかになっている。また、ランサムノートでは、匿名性とユーザーの機密性を重視するエンドツーエンド暗号化インスタントメッセージングアプリケーションであるSessionの使用が指示されている。

VMwareのEXSiハイパーバイザープラットフォームは、複数のデータリッチな仮想マシン（VM）をホストでき、ランサムウェアアクターにとって長年人気のある標的である。これは、攻撃対象の広さと、サードパーティのセキュリティツールをサポートしていないことが原因である。VMwareは、EXSi環境を保護するためのガイドを提供している。

【編集者追記】SEXiランサムウェアと、Babukランサムウェアのまとめ

SEXiランサムウェアとBabukランサムウェアは、どちらもランサムウェア（身代金要求型マルウェア）の一種ですが、それぞれ以下のような特徴があります。

Babukランサムウェア：

• 2021年初頭に登場したランサムウェアで、主にWindows環境を標的としています。
• ランサムウェアとしての機能に加え、被害者のデータを盗み出し、身代金が支払われない場合は公開すると脅迫する「ダブル脅迫」手法を用いるのが特徴です。
• RaaS（Ransomware as a Service）モデルで提供され、犯罪者がBabukの開発者からランサムウェアを購入または借り、攻撃を実行します。
• 2021年9月、Babukの開発者がソースコードを公開したため、他の犯罪者がこれを基に独自のランサムウェアを作成できるようになりました。

SEXiランサムウェア：

• Babukランサムウェアの亜種の1つで、2023年2月に初めて確認されました。
• 名前の由来は、主にVMware ESXiサーバーを標的とすることから「SEXi」と名付けられたと考えられています。
• Windowsではなく、仮想化プラットフォームであるVMware ESXiを狙うことで、多数の仮想マシン（VM）に保存された大量のデータを一度に暗号化できます。
• 身代金要求メモには、Sessionメッセージングアプリを使用して攻撃者と連絡を取るよう指示があります。これにより、攻撃者は匿名性を維持しやすくなります。
• 2023年2月から3月にかけて、タイ、ペルー、メキシコ、チリなどで攻撃が報告されており、国際的な広がりを見せています。

このように、SEXiはBabukの亜種でありながら、標的をWindows環境からVMware ESXiに変更し、匿名通信手段を用いるなど、独自の特徴を持っています。ESXiサーバーは多くの企業で使用されており、大量のデータを保管しているため、ランサムウェア攻撃者にとって魅力的なターゲットとなっているのです。

【ニュース解説】

Babukの新しい変種であるSEXiランサムウェアが、複数の国でVMware ESXiサーバーを標的にした攻撃を行っています。このランサムウェアは特に、チリのデータセンターホスティング会社であるIxMetro PowerHostを含むいくつかの攻撃で確認され、その中の一つでは1億4000万ドルの身代金が要求されました。この攻撃は、Babukソースコードに基づいてマルウェアを開発した脅威アクターの増加と、VMware EXSiサーバーへの関心の高まりという、2つの主要なランサムウェアトレンドの交差点に位置しています。

この攻撃キャンペーンは、ラテンアメリカの少なくとも3カ国での攻撃と関連していることが示唆されています。攻撃者の出所や意図については明らかではありませんが、特定の戦術、技術、手順が徐々に明らかになっています。また、ランサムノートでは、匿名性とユーザーの機密性を重視するエンドツーエンド暗号化インスタントメッセージングアプリケーションであるSessionの使用が指示されています。

VMwareのEXSiハイパーバイザープラットフォームは、複数のデータリッチな仮想マシン（VM）をホストできるため、ランサムウェアアクターにとって魅力的な標的です。このプラットフォームは、攻撃対象の広さと、サードパーティのセキュリティツールをサポートしていないことが原因で、ランサムウェアの攻撃に特に脆弱です。VMwareは、EXSi環境を保護するためのガイドを提供しており、ソフトウェアのパッチ適用、強固なパスワードの使用、サーバーのインターネットからの切断、異常なネットワークトラフィックやESXiサーバー上の活動の監視、VMのバックアップの外部保管などが推奨されています。

この攻撃は、企業や組織が直面するサイバーセキュリティの脅威の進化を示しています。ランサムウェア攻撃は、単にデータを暗号化するだけでなく、高額な身代金を要求することで、被害者の経済的損失をもたらします。また、攻撃者が匿名性を重視する通信手段を使用することで、追跡や特定が困難になり、サイバーセキュリティ対策の複雑さが増しています。

このような攻撃の増加は、企業や組織にとって、セキュリティ対策の強化と、攻撃発生時の迅速な対応計画の重要性を改めて認識させます。また、サイバーセキュリティの専門家や研究者にとっては、新たな脅威の分析と対策の開発が求められることになります。長期的には、サイバーセキュリティの技術と戦略の進化が、このような高度な攻撃に対抗するために不可欠です。

from SEXi Ransomware Desires VMware Hypervisors in Ongoing Campaign.