ESXiArgsとは【用語集詳細】
ESXiArgsは、2023年2月に大規模な攻撃が観測されたランサムウェアです。
フランスのサイバーセキュリティインシデント担当機関であるCERT-FRが、VMWare ESXiサーバーを標的にした攻撃に対し、注意喚起を発出しました。また、全世界で3800以上の組織が被害を受けたと米CISAは推測しています。
ESXiArgsランサムウェアの活動がセキュリティニュースサイト等で話題になり、セキュリティ研究者らがその動作を解析する中で、ESXiボリュームファイルと同一のフォルダ内に.args拡張子のファイルを生成することから、ESXiArgsの名が付与されました。
このランサムウェアは、VMWare ESXiにおける既知の脆弱性(CVE-2021-21974)をターゲットに、対象サーバーに攻撃を実行しています。
ファイルの暗号化にはSosemanukストリーム暗号を、鍵の暗号化にはRSA暗号を利用しており、Babukランサムウェア(ソースコードが以前流出)との関連が推測されます。
2023年2月7日、米CISAはESXiArgsランサムウェアで被害を受けた仮想マシン向けの復旧ツールを公開しました。CISAによれば、当該ツールを利用することで、身代金を払うことなく環境を復旧させた組織も報告されています。
しかしその後、ランサムウェアの暗号化ルーチンが変更され、復旧ツールが無効化されたとの報道が出ています。
