復旧困難、VMware ESXi狙うランサムウェアの亜種が発生

Bleeping Computerはこのほど、「New ESXiArgs ransomware version prevents VMware ESXi recovery」において、VMware ESXiサーバを標的とするランサムウェア「ESXiArgs」の新種が発見されたと伝えた。このランサムウェアによる攻撃で大量のデータが暗号化され、被害を受けたVMware ESXi仮想マシンを回復することがかなり困難な状況になると予想されている。

新種のマルウェア「ESXiArgs」により、インターネットに公開されていた3000台以上のVMware ESXiサーバが被害を受けたことが明らかとなった。

ESXiArgsによるランサムウェア攻撃では通常、深刻度が緊急（Critical）と評価されているサービスロケーションプロトコル(SLP: Service Location Protocol)の脆弱性が悪用される。しかしながら、今回の攻撃では、サービスロケーションプロトコルを無効化しているにもかかわらず侵害されたことが確認されている。また、新たなESXiArgsのサンプルには、以前の攻撃で確認されたバックドア「vmtool.py」が存在しなかったことも報告されている。

暗号化されてしまったESXiサーバを復旧できるよう、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)からリカバリスクリプトが公開されている。このリカバリスクリプトを試すことが推奨されているが、新たなESXiArgsに感染した場合、リカバリスクリプトが機能しない可能性があることが示唆されている(参考「脆弱なVMware ESXi狙うランサムウェアの被害を救済する復旧スクリプト公開 | TECH+（テックプラス）」)。