Agenda(別名Qilin、Water Galura)というランサムウェアグループが、VMware ESXiサーバーを標的とした新たなランサムウェアのバリアントで世界中の感染を拡大している。このグループは2022年に初めて確認され、当初はGolangベースのランサムウェアを使用して、カナダからコロンビア、インドネシアまでの様々な分野のターゲットに対して攻撃を行っていた。2022年末には、マルウェアをRust言語で書き直し、米国を中心にアルゼンチン、オーストラリア、タイなどで金融、法律、建設分野の組織を侵害した。
Trend Microは最近、新しいRustベースのバージョンを発見し、このバージョンは新しい機能とステルス機構を備え、VMware vCenterおよびESXiサーバーを明確に狙っている。このランサムウェアは、Cobalt Strikeやリモート監視・管理(RMM)ツールを介して配信されたバイナリ経由で感染を開始し、vCenterおよびESXiサーバー全体に拡散するためのPowerShellスクリプトが組み込まれている。感染が広がると、マルウェアはすべてのESXiホストのrootパスワードを変更し、所有者をロックアウトした後、SSHを使用して悪意のあるペイロードをアップロードする。
この新しいAgendaマルウェアは、前身と同じ機能を共有しているが、特権のエスカレーション、トークンの偽装、仮想マシンクラスターの無効化など、新しいコマンドを追加している。また、ランサムノートを印刷するという新しい機能も追加されている。攻撃者はこれらのコマンドをシェル経由で積極的に実行し、証拠としてファイルを残さずに悪意のある行動を実行できる。
さらに、Agendaは最近のランサムウェア攻撃者の間で人気のあるトレンドであるBYOVD(Bring Your Own Vulnerable Driver)を利用し、脆弱なSYSドライバーを使用してセキュリティソフトウェアを回避することで、そのステルス性を高めている。Trend Microは、管理権限を密接に監視し、セキュリティ製品を定期的に更新し、スキャンとデータのバックアップを実施し、社員にソーシャルエンジニアリングについて教育し、厳格なサイバーハイジーンを実践することを推奨している。
【ニュース解説】
Agenda(別名Qilin、Water Galura)というランサムウェアグループが、VMware ESXiサーバーを標的にした新たな攻撃波を引き起こしています。このグループは2022年に初めて確認され、当初は様々な分野のターゲットに対してGolangベースのランサムウェアを使用して攻撃を行っていました。2022年末には、マルウェアをRust言語で書き直し、さらに多くの国々で金融、法律、建設分野の組織を侵害しました。
最近、Trend Microによって新しいRustベースのバージョンが発見されました。このバージョンは新しい機能とステルス機構を備え、特にVMware vCenterおよびESXiサーバーを狙っています。感染は、Cobalt Strikeやリモート監視・管理(RMM)ツールを介して配信されたバイナリ経由で開始され、PowerShellスクリプトを使用してvCenterおよびESXiサーバー全体に拡散します。感染が広がると、マルウェアはESXiホストのrootパスワードを変更し、所有者をロックアウトした後、SSHを使用して悪意のあるペイロードをアップロードします。
この新しいAgendaマルウェアは、特権のエスカレーション、トークンの偽装、仮想マシンクラスターの無効化など、新しいコマンドを追加しています。また、ランサムノートを印刷するという新しい機能も追加されています。攻撃者はこれらのコマンドをシェル経由で積極的に実行し、証拠としてファイルを残さずに悪意のある行動を実行できます。
さらに、AgendaはBYOVD(Bring Your Own Vulnerable Driver)を利用し、脆弱なSYSドライバーを使用してセキュリティソフトウェアを回避することで、そのステルス性を高めています。Trend Microは、管理権限を密接に監視し、セキュリティ製品を定期的に更新し、スキャンとデータのバックアップを実施し、社員にソーシャルエンジニアリングについて教育し、厳格なサイバーハイジーンを実践することを推奨しています。
このニュースは、ランサムウェア攻撃がますます巧妙化し、多様化していることを示しています。特に、VMware ESXiサーバーのような重要なインフラを標的にすることで、攻撃者は企業や組織に甚大な影響を与えることができます。このような攻撃から身を守るためには、最新のセキュリティ対策の適用、従業員教育、そして定期的なバックアップが不可欠です。また、この事例は、サイバーセキュリティの重要性が高まっている現代において、組織が常に警戒を怠らず、攻撃者が利用可能な新たな手法や脆弱性に対して迅速に対応する必要があることを強調しています。
from Worldwide Agenda Ransomware Wave Targets VMware ESXi Servers.
