ESXiArgsランサムウェア感染サーバー3,700件以上発見された

2023.02.24 00:41

ESXiArgsランサムウェアはVmware ESXiサーバーで使用されるOpenSLPサービスのヒープオーバーフロー（Heap Overflow）脆弱性を活用した新種のランサムウェアです。CVE-2021-21974とも呼ばれるこの脆弱性はRCE（Remote code execution、遠隔コード実行）攻撃ができるので多くの脅威アクターらが悪用し、脆弱性が発見されたのは2年が経ちました。2023年2月3日、初めてESXiArgsランサムウェアの被害が報告され、最近まで攻撃が続いています。

ESXi OpenSLPとは?

SLPはService Location Protocolの略で、ネットワーク内で使用可能なサービスを職別し配置できるようにするサービス検索プロトコルです。VMWare ESXiを設置する際にSLPを使ってTCP/427及びUDP/427ポートを受信待機させます。SLPサービスは認証なしにアクセスができ、ルート権限で実行されるため、ESXi SLPサービスが脆弱な場合、事前認証によるリモートコード（pre-authentication remote code）がルートに実行されることがあります。

脆弱なSLPがまた悪用され始めてから VMWare ESXiではSLPを使用しないように除去するか、脆弱性の対象ではないバージョンにパッチするよう勧告しています。

現在、OpenSLP脆弱性の対象となるESXiバージョンは次の通りです。

CVE-2021-21974が影響を及ぼすESXiバージョン

ESXi versions 7.x prior to ESXi70U1c-17325551
ESXi versions 6.7.x prior to ESXi670-202102401-SG
ESXi versions 6.5.x prior to ESXi650-202102101-SG

VMware ESXiサーバーを探索する

Criminal IPのIT資産検索でインターネットに漏えいされている世界中のVMware ESXiサーバーの情報を得られます。しかし、今度のESXiArgsランサムウェア攻撃とは関係のないESXiバージョン5.1及び5.5の情報も一緒に検索されます。

Search Query: “ID_EESX_Welcome”

https://www.criminalip.io/ja/asset/search?query=%22ID_EESX_Welcome%22

Criminal IPで世界中のVMware ESXiサーバーを検索した結果、27,866件が検索される

Criminal IPで検索したVMware ESXiサーバーにアクセスした画面

ESXiArgsランサムウェアに感染した世界中のESXiサーバーの現況

この新たなESXiArgsランサムウェア攻撃は感染の際、特定ファイルの拡張子が「.args」に変更され、感染の可否を簡単に確認できます。感染したサーバーでは拡張子が.vmxf、.vmx、.vmdk、.vmsd 及び .nvramのファイルが全て暗号化され、メタデータがある暗号化された各文書に.argsファイルが生成されます。

これを活用してランサムウェアに感染したESXiサーバーの数を確認できます。ESXiArgsランサムウェアに感染したホストを探すためのキーワードは以下の通りです。

Search Query: title:"How to Restore Your Files"

https://www.criminalip.io/ja/asset/search?query=title:%22How%20to%20Restore%20Your%20Files%22

ESXiArgsランサムウェアに感染したホストを検索した結果、総3,759件が検索された

ESXiArgsランサムウェア感染サーバーは投稿の時点で総3,759件が発見されました。

新種ランサムウェア攻撃の特徴は、攻撃の行為が一定に発生せず、急に増加するか止まるパターンだということです。各種サイバーセキュリティメディアに報告されている感染の数は2月6日、約1,000件感染に報告されて、その以後の2月14日、約1,900件感染が報告されました。この文を作成する今はESXiランサムウェア攻撃が静まった状態にもかかわらず、Criminal IPで検知された感染ホストは3,759件で、各種メディアに報告された感染の数よりはるかに多くのサーバーが発見されました。

検索に使用されたキーワードの「How to Restore Your File」は、ハッカーがランサムウェアに感染した被害者に残すランサムノートのTitleです。感染したサーバーのランサムノートを確認してみると、3日以内に送金し、ファイルの暗号を解読しようとするなという注意の文句が書いてあります。

ESXiArgsランサムウェアの攻撃者が残したランサムノート

このランサムノートのバイナリを分析した結果をVirusTotalで確認した結果は以下の通りです。

https://www.virustotal.com/gui/file/11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66/relations

ESXiArgsランサムウェアのランサムノートをVirusTotalに分析した結果

ランサムウェアに感染したESXiサーバーの国家統計

Criminal IPで検索したランサムウェアに感染したESXiホスト結果に国のフィルターを掛けると、国単位で検索結果を絞ることもできます。日本内で感染したホストは以下の通りで、現在も感染ホストが増え続けています。

Search Query: Title:"How to Restore Your Files" country: US

https://www.criminalip.io/ja/asset/search?query=Title%3A%22How+to+Restore+Your+Files%22+country%3A+US

国のフィルターを使ってアメリカの感染サーバーを検索した結果

また、要素分析でも ESXiランサムウェア感染サーバーの国家統計を確認できます。

現在、当ランサムウェアに感染したサーバーは総70個の国で発見されました。最も大きな被害を受けた国はフランスで、総1,300個のサーバーが感染したことが確認されました。

https://www.criminalip.io/ja/intelligence/element-analysis/search?query=Title%3A%22How+to+Restore+Your+Files%22

ESXiArgsランサムウェアに感染した上位30個の国の統計、
フランスの感染件数が圧倒的な数値を占めている。

ランサムウェア暗号化を解読する方法及びセキュリティパッチの勧告事項

アメリカのCISA（Cybersecurity and Infrastructure Security Agency）でESXiArgsランサムウェアに感染したサーバーを復旧する方法を公開、次のようなセキュリティ勧告事項を発表しました。

最新バージョンの VMware ESXiソフトウェアにサーバーをアップデートする
SLP（Service Location Protocol）サービスを非活性化し、ESXiハイパーバイザーを強化する
ESXiハイパーバイザーが公用のインターネットに漏えいされないように点検する

また、攻撃者が残したランサムノートの脅迫に応じて身代金を支払うことも推奨しません。身代金を支払うことで攻撃の収益が発生したら、また他の攻撃者がランサムウェアの配布に加担する可能性があるためです。

関連しては LockBit 3.0ランサムウェアの攻撃者がダークウェブサイトを活用する方法 をご参照ください。

データの提供

Criminal IP
▶ https://criminalip.io/ja
CISA
▶ https://www.cisa.gov/uscert/ncas/alerts/aa23-039a
Cyble
▶ https://blog.cyble.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/

ご参照

https://blog.criminalip.io/ja/2022/09/23/lockbit-3-0-ランサムウェア/

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

1コメント

1000 / 1000
okiball
2023.04.12 10:47
すごい