Trend Microの最新の調査結果によると、Playランサムウェアグループは、VMWare ESXi環境を特に標的とするマルウェアのLinux版を導入しました。
2022年6月に初めて検出されたPlayランサムウェアは、高度な二重恐喝戦術、独自に構築されたツール、そして組織への大きな影響で悪名を高めており、特にラテンアメリカで顕著です。
ESXi環境への拡大
Trend Microが先週公開したアドバイザリによれば、PlayランサムウェアがESXi環境に焦点を当てた最初の記録事例であり、Linuxプラットフォーム全体にわたって攻撃戦略を拡大していることを示唆しています。この動きは被害者の母集団を増やす可能性があり、より成功率の高い身代金交渉につながる恐れがあります。
VMWare ESXi環境は、重要なアプリケーションやデータを実行する複数の仮想マシン(VM)をホストするため、企業にとって極めて重要です。これらのシステムが侵害されると、業務が深刻に混乱し、バックアップまで危殆化する可能性があり、復旧作業がより困難になります。
感染チェーンと使用されるツール
調査では、2024年1月から7月にかけて、米国でPlayランサムウェアの被害者数が最も多かったことが示されています。最も影響を受けたのは製造業とプロフェッショナルサービス分野でした。大きな懸念点は、このランサムウェアがセキュリティ検知を回避できることで、Linux版はVirusTotalで検知数がゼロでした。
このランサムウェア亜種の感染チェーンには、PsExec、NetScan、WinSCP、WinRAR、そしてCoroxyバックドアなど、さまざまなツールが含まれており、これらはPlayランサムウェア攻撃に以前関連付けられていた同一のIPアドレス上でホストされています。
TrendMicroが分析したサンプルは、悪意ある処理を進める前に、ESXi関連コマンドを実行してESXi環境内で動作していることを確認します。これらのコマンドが存在しない場合、ランサムウェアは自己終了し、検知を回避します。
Playランサムウェアの詳細:米国とオーストラリアがPlayランサムウェアの脅威について警告
Playランサムウェアはシェルスクリプトのコマンドを実行して環境内のすべてのVM をスキャンして電源オフし、その後、重要データを含むVMファイルを暗号化して、影響を受けたファイルに拡張子「.PLAY」 を付加します。続いて身代金要求メモが表示され、ESXiクライアントの ログインポータルとルートディレクトリの両方に提示されます。
Prolific Pumaとの関連
さらに、この調査はPlayランサムウェアグループと、Prolific Pumaとして知られる別の脅威アクターとの関連を明らかにしています。Prolific Pumaは、ランダムなアルゴリズムでドメインを生成し、検知回避のためにサイバー犯罪者へリンク短縮サービスを提供することで悪名高い存在です。
高価値標的であるESXi環境では、ランサムウェア攻撃を緩和するために堅牢なセキュリティ対策が必要です。
推奨される実践には、定期的なパッチ適用と更新、仮想パッチ、設定不備への対処、強固なアクセス制御の実装、ネットワークセグメンテーション、攻撃対象領域の最小化、オフラインバックアップの維持、そしてセキュリティ監視およびインシデント対応ソリューションの導入が含まれます。
翻訳元: https://www.infosecurity-magazine.com/news/play-ransomware-target-vmware-esxi/
