サイバー犯罪者は、世界中の何千もの組織を標的とするランサムウェア キャンペーンの一環として、2 年前に発生した VMware の脆弱性を積極的に悪用しています。
週末に、VMware ESXi サーバーが脆弱なままで、2021 年からのリモートで悪用可能なバグに対してパッチが適用されていないことが報告され、「ESXiArgs」と呼ばれるランサムウェアの亜種によって侵害され、スクランブルされました。 ESXi は VMware のハイパーバイザーであり、組織が単一の物理サーバー上で複数のオペレーティング システムを実行する複数の仮想化されたコンピューターをホストできるようにするテクノロジです。
フランスのコンピューター緊急対応チーム CERT-FR レポート サイバー犯罪者は 2 月 3 日以降、VMware ESXi サーバーを標的にしていることを指摘し、イタリアの国家サイバーセキュリティ機関 ACN は日曜日に、ヨーロッパと北米の数千のサーバーを標的とする大規模なランサムウェア キャンペーンについて警告しました。
米国のサイバーセキュリティ当局者も、ESXiArgs キャンペーンを調査していることを確認しています。
「CISAは、官民のパートナーと協力して、報告されたこれらの事件の影響を評価し、必要に応じて支援を提供しています」と国土安全保障省の米国サイバーセキュリティ部門は語った。 ロイター 声明で。 (TechCrunch が CISA の広報担当者に連絡を取ったとき、すぐにはコメントしなかった。)
イタリアのサイバーセキュリティ当局者は、従業員のパスワードや秘密の使用に依存しない複雑さの低い攻撃で、認証されていない攻撃者が EXSi の欠陥を悪用する可能性があると警告しました。 イタリアの ANSA 通信社. ランサムウェア キャンペーンは、パッチが適用されていないマシンの数が原因で、すでに「重大な」損害を引き起こしている、と地元の報道機関は報じています。
これまでに、世界中で 3,200 台を超える VMware サーバーが ESXiArgs ランサムウェア キャンペーンによって侵害されました。 センシスの検索によると (経由 ビープ音を鳴らすコンピューター)。 フランスが最も影響を受けている国で、米国、ドイツ、カナダ、英国がそれに続きます。
誰がランサムウェア キャンペーンの背後にいるのかは明らかではありません。 フランスのクラウド コンピューティング プロバイダー OVHCloud 後戻りした Nevada ランサムウェアの亜種へのリンクを示唆する最初の調査結果について。
脅威インテリジェンス プロバイダーによって共有された、申し立てられた身代金メモのコピー ダークフィード、攻撃の背後にいるハッカーが「三重恐喝」手法を採用したことを示しています。この手法では、攻撃者は被害者の顧客にデータ侵害を通知すると脅迫しています。 未知の攻撃者は、2.06 ビットコイン (身代金として約 19,000 ドル) を要求しており、各メモには異なるビットコイン ウォレット アドレスが表示されています。
VMware の広報担当者である Doreen Ruyak 氏は、TechCrunch に寄せられた声明の中で、ESXiArgs と呼ばれるランサムウェアの亜種が「 CVE-2021-21974脆弱性に対するパッチは、「2021 年 2 月 23 日の VMware のセキュリティ アドバイザリで 2 年前に顧客に提供された」と述べています。
「セキュリティ衛生は、ランサムウェア攻撃を防ぐための重要な要素です。CVE-2021-21974 の影響を受けるバージョンの ESXi を実行していて、まだパッチを適用していない組織は、アドバイザリの指示に従って行動する必要があります」と広報担当者は付け加えました。 .