暗号化されたESXiサーバ

ESXiサーバを暗号化する新しいマルウェアが観測されています。
ある事例では、最初の侵入からランサムウェアスクリプトの展開までがたったの3時間で完了してしまったというのです。
その事例では次のような流れで侵害が行われました。

  • ターゲットのネットワークでドメイン管理者のクレデンシャルを持つユーザーに属するコンピュータのバックグラウンドで実行されているTeamViewerアカウント(多要素認証が設定されていないアカウント)にログインする
    攻撃者は、標的組織のタイムゾーンで午前0時30分にログオンし、10分後に攻撃行動を開始します。
  • TeamViewerでの接続を使用し、Advanced IP Scannerというツールをダウンロードして実行し、ネットワーク上の標的を特定する
    この標的は、ESXiサーバです。
  • Bitviseと呼ばれるSSHクライアントをダウンロードし、それを使用してAdvanced
    IPScannerを使用して特定したVMwareESXiサーバーにログインする
    この行動は午前2時でした。
  • ESXi Shellにログインする
    ESXiサーバーには、管理者が有効にできるESXi Shellと呼ばれるSSHサービスが組み込まれていますが、通常はデフォルトで無効になっています。
    この事例のターゲットでは、これが有効な状態のままとなっていました。
  • Pythonランサムウェアを配置する
    午前3時過ぎに、資格情報を使用してESXiシェルにログインし、ハイパーバイザーで実行されるVMが使用する仮想ディスクイメージを格納するESXiデータストアにfcker.pyという名前のファイルをコピーしました。
    たったの6KBの小さなスクリプトでした。
  • Pythonランサムウェアスクリプトは、仕事を開始する
    • すべてのVMを停止する
      ESXi Shellのコマンドを使うため、簡単に実現できます。
    • ESXiにもともと含まれているopensslコマンドを使用し、VMを1個ずつ暗号化する
      暗号化に使用するキーペアは、データストアごとに別々のものを使います。
    • 元のファイルの内容を固定の文字列だけで上書きする
    • 元のファイルを削除する
    • 攻撃に使用した各ファイルを上書きすることによって削除する

この事例では、TeamViewerで環境に侵入され、ESXiにログインされ、暗号化されています。
TeamViewerでドメイン管理権限のあるユーザがログインできるようになっていなかったら、この問題は起こらなかったでしょう。
ESXi Shellを使用が終わるたびに無効化するように使っていたら(通常はそれが推奨されています)、この問題は起こらなかったでしょう。

XXXXしていたら、を言い出すと切りがありません。

便利のためにESXi Shellが有効なままにしてあるESXiサーバは、あなたの環境にありませんか?
わかります、便利ですから。
でも、その便利さはそのまま危険さに直結します。

やるべきことをひとつひとつ実践していくことが必要なのかもしれません。

参考記事(外部リンク):Python ransomware script targets ESXi server for
encryption

news.sophos.com/en-us/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption/