Insiktレポート

In Before The Lock : ESXi

投稿: 2023年2月13日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

Executive Summary

組織が重要なインフラストラクチャとビジネスシステムの仮想化を続けるにつれて、ランサムウェアを展開する脅威アクターは同様の対応をしています。 2021年から2022年にかけて、 ESXiを標的とするランサムウェアが約3倍に増加し、ALPHV、LockBit、BlackBastaなどの多くのグループから提供されていることが確認されました。 ランサムウェアのペイロードがドロップされる前によく見られる複数のTTPの検出戦略を特定して説明し、これらのツールを実際に使用する脅威アクターに基づく検出と緩和策を作成しました。 YARAルールやSigmaルールなどのツール固有の検出機能に加えて、一般的な列挙、エクスプロイト、永続化の手法の検出も特定しました。 提供される検出と軽減策は、以下で評価するツールだけでなく、このレポートの範囲外のカスタム (脅威アクター固有の) ツールにも使用できます。 ESXi システムに対するランサムウェア以前の脅威ハンティング、検出、および軽減を検討している組織は、提供されている検出を出発点として、環境に固有の検出を開発し、階層化されたセキュリティ アプローチの一部として使用する必要があります。 現在ESXiで利用可能なEDR(Endpoint Detection and Response)やアンチウイルスソフトウェア(AV)などの防御製品はまだ普及しておらず、組織の仮想化への依存度も高まっているため、脅威アクターにとって魅力的な標的となり、運用上のダウンタイムや組織の風評被害につながる可能性があります。

Key Takeaways

  • ESXi を標的とするランサムウェアは、今後も組織にとって脅威であり続け、運用上のダウンタイム、競争上の不利益、ブランドへのダメージのリスクにさらされます。
  • 組織は仮想化されたインフラストラクチャを引き続き展開する必要がありますが、セキュリティのベスト プラクティスと、既存のインフラストラクチャで使用されているのと同様の予防措置を実装することが重要です。
  • ESXiを標的とする悪意のあるツールは、主にネイティブコマンドを悪用してアクションを実行するため、通常のシステム管理者のアクティビティと区別することが困難になります。
  • 公開されているツールやデバイス検索エンジンは、カスタムツールに加えて、ESXiを標的とする脅威アクターによって引き続き使用されます。
  • ESXiを対象とするアンチウイルスおよびEDRソリューションの未熟さは、セキュリティ対策の実装の難しさと相まって、Windowsを標的とするものと比較して、ESXiにマルウェアを展開する脅威アクターの技術的な障壁を低くします。
  • 初期アクセスの脆弱性を悪用することは一般的な戦術です。ただし、多くの脅威アクターは、システム管理者のメモ、保存されたパスワード、または特定の従業員のキーロギングに依存して、vSphere環境にアクセスします。
  • ハイパーバイザーの複雑な性質のために、防御的な慣行を実装することは困難です。ただし、ホスト構成証明を提供し、攻撃対象領域を減らし、ネットワーク上の他のシステムへのアクセスを最小限に抑えるユーティリティを実装すると、組織のリスクを大幅に軽減できます。

背景

ランサムウェアグループは、ツールセットの進化と拡大を続けており、より専門的なターゲットに焦点を当て、収益を得る機会に基づいてより洗練されたツールを作成しています。 VMware ESXi は、仮想インフラストラクチャの導入と提供のために設計された、市場をリードするエンタープライズ グレードのハイパーバイザーです。 ESXiを標的とするランサムウェアは、サーバーインフラストラクチャの大部分を仮想化する方向にシフトしている組織に脅威を与え続けます。 仮想化インフラストラクチャを保護する方法は、テクノロジーの独自の性質と、仮想化用に設計された防御製品が比較的初期段階にあるため、複雑です。 これらの要因の結果として、ESXi は金銭的な動機を持つ脅威アクターにとって非常に魅力的なターゲットとなります。

In 2020, there were very few mentions of ESXi ransomware attacks, as threat actors primarily targeted Windows-based networks due to the availability of initial access presented by the pandemic and multiple critical vulnerabilities (such as CVE-2018-13379, CVE-2019-11510, and CVE-2019-19781). As organizations responded with more effective defenses against ransomware and threat actors recognized the defensive gaps in virtualized networks, threat actors began to create ESXi-specific ransomware and techniques. In 2021, cyberattacks involving ESXi ransomware increased. During 2022, we observed a 3-fold year-over-year increase in ransomware attacks by a larger number of ransomware groups and advanced TTPs and tooling targeting virtualized infrastructure, as seen in Figure 1 below.

esxi-001.png 図 1: Ransomware attacks focused on ESXi show a 3-fold increase in a single year (Source: Recorded Future)

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連ニュース&研究