ESXiにもAvosLocker
Windows環境のAvosLockerは、各地で観測されています。
そして今回、Linux環境向けのAvosLockerが確認されています。
Linuxといっても、Linuxだけとは限りません。
Linuxの仕組みをもとにしたものがターゲットとなります。
今回のバリアント(いわゆる変種ですね)は、ESXiをターゲットとしています。
こんな感じです。
- 感染する
- ESXi上のすべてのVMを停止する
- すべてのデータファイルを暗号化する
- 暗号化完了したファイルに、.avoslinux拡張子を追加する
- 身代金メモを配置する
彼ら自身がアフィリエイトを募集する広告を出しています。
twitterにまで掲載しています。
そしてそこで謳います。
他のランサムウェアよりも、高性能に大量に暗号化することができます、と。
高速に動作されると、異変に気が付いてから、取り返しがつかない事態となるまでの時間が短くなるといえます。
ESXiには通常いくつかのVMが同居した状態で運用されます。
それらがひとまとめに暗号化されます。
その攻撃は、所有者組織にとって大きなインパクトになると思われます。
Hive、REvil、Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide、Hellokitty、BlackMatter、PureLocker、これらはどれもLinuxをターゲットとしたランサムウエア攻撃を展開しています。
ESXiの運用は、サーバの運用と似た特性を持っているかもしれません。
運用している構成によりますが、パッチを適用するためのESXiのメンテナンス計画は、通常の単体動作のサーバの場合よりも面倒かもしれません。
しかし、ESXiも他のシステム同様、必要な運用を継続していく必要があるものと認識する必要がありそうです。
参考記事(外部リンク):Linux version of AvosLocker ransomware targets VMware ESXi
servers
www.bleepingcomputer.com/news/security/linux-version-of-avoslocker-ransomware-targets-vmware-esxi-servers/
