BSI によると、2021 桁台半ばのドイツ企業を含む世界中の数千台のサーバーに影響を与えるランサムウェアの波では、攻撃者はサーバー ファーム (いわゆる ESXi サーバー)、つまりすべての IT の心臓部を標的にしています。風景。 XNUMX 年 XNUMX 月の脆弱性でまだ動作する、古くてパッチが適用されていない VMware ESXi サーバーが特に攻撃されました。
BSI - Federal Office for Information Security によると、VMware の ESXi 仮想化ソリューションを実行している数千台のサーバーがランサムウェアに感染し、その多くが広範な世界的な攻撃で暗号化されました。 VMware ESXi サーバーへの攻撃の地域的焦点は、フランス、米国、ドイツ、およびカナダであり、他の国も影響を受けています。 加害者は、以前から知られている脆弱性を利用しました。 脆弱性自体 – CVE-2021-21974 としてリストされている 重大度 8.8 の CVSS によると、「高」 - 2021 年 XNUMX 月以降、メーカーからパッチが提供されています。
これはトレンドマイクロがESXiサーバー攻撃について述べていることです
🔎 トレンドマイクロ: Richard Werner、ビジネスコンサルタント (画像: トレンドマイクロ)。
「私たちは、企業がこのようなサードパーティの問題に備えていないことを何度も目にしています。 Microsoft には定期的なパッチ プロセスがありますが、この場合の VMware などのサードパーティ メーカーにはありません。 パッチの数が多いため、個別のプロセスを作成することは正当化されません。 さらに、企業は単一のパッチをインストールするためにサーバー ファームをシャットダウンするだけではありません。 攻撃者は、被害者が直面している問題を認識しているため、Microsoft テクノロジに基づかない脆弱性を悪用することがよくあります。
ESXi の脆弱性は 2020 年 XNUMX 月にすでに VMware に報告されています
実際、攻撃者が使用する脆弱性の約 30% だけが、この技術大手のソフトウェアに依存しています。 ハッカーが、パッチが適用されていないソフトウェアの脆弱性を積極的に悪用することは珍しくありません。 トレンドマイクロの調査によると、世界中の全企業の約 86% がこのようなギャップを抱えています。 Trend Micro の Zero Day Initiative は、脆弱性を CVE-2021-21974 として特定し、重大度 8.8 で CVSS によって「高」と評価された脆弱性を 2020 年 2021 月に VMware に報告し、その後、脆弱性の責任ある開示 (責任ある開示) を共同で公開しました。 Richard Werner 氏、ビジネス コンサルタント トレンドマイクロ.
これは、チェック・ポイントが ESXi サーバー攻撃について述べていることです。
「ここ数日間に発生した機能停止は、このランサムウェア攻撃に正確に遡ることができます。このランサムウェア攻撃は、フランスやイタリアなどのヨーロッパ諸国だけでなく、世界中で脅威が増大しています。 昨年 59 月、Check Point Research の ThreatCloud は、世界中でランサムウェアが前年比で XNUMX% 増加したことを報告しました。 この増加と昨日報告された攻撃により、サイバー脅威の防止は企業や組織にとって最優先事項でなければならないことを繰り返します。
Windows 以外のマシンも危険にさらされています
ESXi サーバーに対するこの大規模な攻撃は、Windows 以外のマシンでこれまでに報告された最大のサイバー攻撃の XNUMX つとも考えられています。 状況をさらに懸念しているのは、最近までランサムウェア攻撃が Windows ベースのマシンに限定されていたという事実です。 攻撃者は、機関や組織のシステムにとって Linux サーバーがいかに重要であるかを認識しています。 チェック·ポイント·ソフトウェア·テクノロジーズ.
Barracuda が ESXi サーバー攻撃について述べていること
🔎 Barracuda Networks: Stefan van der Wal、コンサルティング ソリューション エンジニア、EMEA、アプリケーション セキュリティ (画像: Barracuda Networks)。
「ヨーロッパや他の地域でパッチが適用されていない VMware ESXi システムに対する広範囲にわたるランサムウェア攻撃が報告されていますが、これは 2021 年にパッチが適用された脆弱性を悪用したようです。 これは、重要なソフトウェア インフラストラクチャ システムを完全にタイムリーに更新することがいかに重要であるかを示しています。 企業がソフトウェアを更新することは必ずしも容易ではありません。 たとえば、このパッチの場合、企業は IT インフラストラクチャの重要な部分を一時的に無効にする必要があります。 しかし、潜在的に悪意のある攻撃に見舞われるよりも、これに耐える方がはるかに良い.
ESXi を使用している組織は、すぐに最新バージョンに更新する必要があります
仮想インフラストラクチャを保護することは非常に重要です。 仮想マシンは、ビジネス上重要なサービスや機能を実行することが多いため、ランサムウェアの魅力的な標的になる可能性があり、攻撃が成功すると、広範囲にわたる混乱を引き起こす可能性があります。 仮想マシンの管理コンソールへのアクセスが保護されていることを確認することは特に重要です。たとえば、企業ネットワーク上の侵害されたアカウントを介して単純にアクセスできないようにすることが特に重要です。 バラクーダネットワークス.
これは、Artic Wolf が ESXi サーバー攻撃について述べていることです。
成功したランサムウェア攻撃が減少しているという報告にもかかわらず、ヨーロッパと北米のサーバーに対する世界的な攻撃は、ランサムウェアが依然として世界中の企業や組織にとって真の脅威であることを示しています. VMWare の脆弱性を悪用することで、犯罪者は、複数の業界や国に製品を供給する大手サプライヤーを攻撃することができました。 したがって、この攻撃は今後もしばらくの間、何千人もの人々に広範囲にわたる混乱を引き起こし続けると考えて間違いありません。
企業は現在のセキュリティ体制を常に見直す必要があります
「2022 年上半期には、すべてのセキュリティ インシデントの半分以上が外部の脆弱性の悪用によって引き起こされました。 観察できる傾向: 攻撃者は、特に既知の脆弱性を介して、あらゆる規模の組織をますます標的にしています。 したがって、組織がサイバーセキュリティの基礎を正しく理解することがこれまで以上に重要になっています。 B. 一貫した定期的なパッチ適用を通じて。
これは、専門家と協力して適切なテクノロジを特定し、適切なアプリケーションで従業員をトレーニングし、現在のセキュリティ状況を常に確認することを意味します。 このようにして、彼らは新しい脅威に対応し、可能な限り最善の方法で自分自身を保護するための最良の立場にいることを保証できます. また、特定のシステムがダウンした場合、組織が業務を継続できるようにするためには、緊急時対応計画が重要です」と、Dan Schiappa の最高製品責任者は述べています ホッキョクオオカミ.
Tehtris が ESXi サーバー攻撃について述べていることは次のとおりです。
TEHTRIS は、週末に知られるようになった ESXiArgs ランサムウェア攻撃の分析を公開しました。 セキュリティの専門家は、実際の攻撃が行われる前に、攻撃の前にいくつかの活動があったという結論に達しました。 調査のために、セキュリティ研究者は特にポート 427 に関連するアクティビティを分析しました。これは、現在の攻撃で非常に重要です。
ESXiArgs ランサムウェア: 週末だけではない攻撃
🔎 ESXi サーバーのポート 427 周辺で Tehtris によって登録されたアクティビティ (画像: Tehtris)。
ESXiArgs サイバー キャンペーンは、暗号化されたドキュメントごとに .args ファイルを作成するため、その名前が付けられました。 ハニーポットの世界的なネットワークのおかげで、Tehtris は、週末に知られるようになった攻撃が数日前に始まったものではないことを突き止めることができました。 以下のタイムラインは、1 年 2023 月 10 日以降の Tehtris のデータに基づいており、早ければ 24 月 427 日と XNUMX 日にポート XNUMX への攻撃が急増したことを示しています。 その後、これらの活動は XNUMX 月初旬に再び回復しました。
ー 3月427日以前に、ハニーポットネットワークでこの文脈でTehtrisが監視している悪意のあるIPの一部は、XNUMX月XNUMX日までレーダーの下に留まろうとしました。 彼らは非常に目立たずに XNUMX 回の呼び出しを行うだけでしたが、多数のハニーポットに到達しました。 グローバル ハニーポット パネルを見ると、ポート XNUMX への着信攻撃のほとんどが、米国東部、アジア太平洋の北東部、西ヨーロッパを標的としており、ほぼ同じレベルであることがわかります。 攻撃元のIPアドレスの分析など、さらなる調査結果を確認できます Tehtris の最新のブログ投稿で.