ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

ランサムウェア攻撃、VMwareの脆弱性を狙う – サイバー犯罪の新たな波

ランサムウェア攻撃、VMwareの脆弱性を狙う - サイバー犯罪の新たな波 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-27 10:42 by 門倉 朋宏

ランサムウェア攻撃がVMware ESXiの脆弱性を悪用する事例が増加している。サイバーセキュリティ企業Sygniaによると、仮想化プラットフォームは組織のITインフラの核心部分であり、しばしば設定ミスや脆弱性が存在し、攻撃者にとって魅力的な標的となっている。攻撃者はフィッシング攻撃や悪意のあるファイルダウンロード、インターネットに面した資産の既知の脆弱性を悪用して初期アクセスを得た後、権限昇格を図り、ESXiホストやvCenterの認証情報を取得する。その後、仮想化インフラへのアクセスを確認し、ランサムウェアを展開し、バックアップシステムを削除または暗号化し、復旧作業を複雑にする。データを外部の場所に移動し、ESXiファイルシステムの”/vmfs/volumes”フォルダを暗号化し、攻撃の範囲を広げるために非仮想化サーバーやワークステーションにランサムウェアを拡散する。

Rapid7は2024年3月初旬から悪意のある広告を通じてWinSCPとPuTTYのトロイの木馬化されたインストーラーを配布し、ランサムウェアをインストールするキャンペーンが進行中であると警告している。これらの偽インストーラーは、Sliverの後方展開ツールキットをドロップし、さらに多くのペイロード、Cobalt Strike Beaconを含むランサムウェアの展開に利用される。この活動は、初期アクセスベクトルとしてマルバタイジングを使用した以前のBlackCatランサムウェア攻撃と戦術的な重複がある。

また、新しいランサムウェアファミリーの出現も報告されており、MorLockグループはロシアの企業を対象に攻撃を行い、データを外部に移動させることなくファイルを暗号化している。攻撃者はデータへのアクセス回復のために莫大な身代金を要求している。

NCC Groupによると、2024年4月の全世界のランサムウェア攻撃は前月から15%減少し、421件から356件になった。特に、LockBitは8ヶ月間最も被害者数の多い脅威アクターとしての地位にあったが、今年初めの大規模な法執行機関による摘発の影響で苦戦している。

サイバー犯罪者は、データの外部移動、追加のマルウェアの展開、ランサムウェア攻撃の容易化に利用できる隠されたVirtual Network Computing (hVNC)やリモートアクセスサービスを広告している。初期アクセスブローカー(IAB)やランサムウェアオペレーターは、企業のVPNやメールアカウントへの有効な認証情報の存在を確認するためにTMCheckerを使用している。

【ニュース解説】

VMware ESXiの脆弱性を悪用するランサムウェア攻撃が増加しているという報告があります。これは、組織のITインフラの核心部分である仮想化プラットフォームが、設定ミスや脆弱性の存在により、攻撃者にとって魅力的な標的となっていることを示しています。攻撃者は、フィッシング攻撃や悪意のあるファイルダウンロード、インターネットに面した資産の既知の脆弱性を悪用して初期アクセスを得た後、権限昇格を図り、ESXiホストやvCenterの認証情報を取得します。その後、仮想化インフラへのアクセスを確認し、ランサムウェアを展開し、バックアップシステムを削除または暗号化し、復旧作業を複雑にします。データを外部の場所に移動し、ESXiファイルシステムの”/vmfs/volumes”フォルダを暗号化し、攻撃の範囲を広げるために非仮想化サーバーやワークステーションにランサムウェアを拡散します。

このような攻撃に対抗するためには、組織は適切な監視とログの設定、強固なバックアップメカニズムの作成、強力な認証手段の強化、環境の堅牢化、および横方向の移動を防ぐためのネットワーク制限の実施が推奨されます。

また、Rapid7は、悪意のある広告を通じてWinSCPとPuTTYのトロイの木馬化されたインストーラーを配布し、ランサムウェアをインストールするキャンペーンが進行中であると警告しています。これらの偽インストーラーは、Sliverの後方展開ツールキットをドロップし、さらに多くのペイロード、Cobalt Strike Beaconを含むランサムウェアの展開に利用されます。この活動は、初期アクセスベクトルとしてマルバタイジングを使用した以前のBlackCatランサムウェア攻撃と戦術的な重複があります。

新しいランサムウェアファミリーの出現も報告されており、特にMorLockグループはロシアの企業を対象に攻撃を行い、データを外部に移動させることなくファイルを暗号化しています。攻撃者はデータへのアクセス回復のために莫大な身代金を要求しています。

これらの攻撃は、サイバーセキュリティの重要性を再確認させるものであり、組織は自身のセキュリティ対策を見直し、強化する必要があります。また、サイバー犯罪者が新たな手法やツールを開発し続ける中で、セキュリティ業界もこれに対応するための新しいソリューションや戦略を継続的に更新し、提供することが求められます。

from Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…