研究者によると、特定されていないハッカーがSharePointの脆弱性に関連した侵入の後、身代金を要求したという。
Palo Alto Networksの研究者は、最近公表されたMicrosoft SharePointのToolShell脆弱性に関連するランサムウェア攻撃を調査していると述べている。
ハッカーは、被害者に対して4L4MD4Rランサムウェアを用いてファイルを暗号化したとする身代金要求メモを日曜日に残した。メモには、ファイルの復号を試みると削除されると警告されていた。
Palo Alto Networksの研究者によると、ハッカーはPowerShellコマンドを使ってWindows Defenderのリアルタイム監視を無効化したという。侵入者は証明書の検証も回避した。
Palo Alto NetworksのUnit 42脅威インテリジェンス部門シニアディレクター、アンディ・ピアッツァ氏は「攻撃が成功すると、マルウェアはファイルを暗号化し、4L4MD4Rランサムウェアであることを示す身代金要求メモを表示し、ビットコインやその他いくつかの暗号通貨での支払いを要求します」と述べた。
同社は、攻撃者の身元や他の標的にもランサムウェアを展開したかどうかについて、引き続き調査している。
木曜日、Shadowserverの研究者はインターネット上に公開されているSharePointインスタンスが17,000件あり、そのうち840件が、ハッカーが数週間にわたり悪用している深刻な脆弱性(CVE-2025-53770)を依然として抱えていると報告した。
Shadowserverによると、これら脆弱なサーバーのうち少なくとも20台に、ハッカーの存在を示唆するウェブシェルが含まれていたという。
7月には、研究者が世界中で少なくとも300件の既知の侵害があり、米国の主要政府機関も含まれていると述べていた。
SharePoint攻撃に関連したランサムウェアの試みは、継続中の攻撃キャンペーンに新たな懸念をもたらしている。マイクロソフトの研究者は以前、SharePointの脆弱性が中国支援のハッカーの関心を集めていると警告していた。
Palo Alto Networksの研究者は、このランサムウェア攻撃は国家的な活動とは無関係のようだと述べている。Googleや他の企業の研究者も、脆弱なSharePointインスタンスを標的とした機会的な攻撃について以前から警告していた。