SOMPO CYBER SECURITY
ESXiArgsは、2023年2月に大規模な攻撃が観測されたランサムウェアです。
フランスのサイバーセキュリティインシデント担当機関であるCERT-FRが、VMWare ESXiサーバーを標的にした攻撃に対し、注意喚起を発出しました。また、全世界で3800以上の組織が被害を受けたと米CISAは推測しています。
ESXiArgsランサムウェアの活動がセキュリティニュースサイト等で話題になり、セキュリティ研究者らがその動作を解析する中で、ESXiボリュームファイルと同一のフォルダ内に.args拡張子のファイルを生成することから、ESXiArgsの名が付与されました。
このランサムウェアは、VMWare ESXiにおける既知の脆弱性(CVE-2021-21974)をターゲットに、対象サーバーに攻撃を実行しています。
ファイルの暗号化にはSosemanukストリーム暗号を、鍵の暗号化にはRSA暗号を利用しており、Babukランサムウェア(ソースコードが以前流出)との関連が推測されます。
2023年2月7日、米CISAはESXiArgsランサムウェアで被害を受けた仮想マシン向けの復旧ツールを公開しました。CISAによれば、当該ツールを利用することで、身代金を払うことなく環境を復旧させた組織も報告されています。
しかしその後、ランサムウェアの暗号化ルーチンが変更され、復旧ツールが無効化されたとの報道が出ています。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月、ロシア語のダークウェブ・フォーラムXSSにおいてBeastランサムウェアの宣伝投...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月19日、親ロシアのハクティビスト・グループであるNoName057(16)が自身の...