In Before The Lock : ESXi

In Before The Lock : ESXi

insikt-group-logo-updated-3-300x48.png
編集者注:これはレポート全文の抜粋です。文末脚注付きの分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

Executive Summary

組織が重要なインフラストラクチャとビジネスシステムの仮想化を続けるにつれて、ランサムウェアを展開する脅威アクターは同様の対応をしています。 2021年から2022年にかけて、 ESXiを標的とするランサムウェアが約3倍に増加し、ALPHV、LockBit、BlackBastaなどの多くのグループから提供されていることが確認されました。 ランサムウェアのペイロードがドロップされる前によく見られる複数のTTPの検出戦略を特定して説明し、これらのツールを実際に使用する脅威アクターに基づく検出と緩和策を作成しました。 YARAルールやSigmaルールなどのツール固有の検出機能に加えて、一般的な列挙、エクスプロイト、永続化の手法の検出も特定しました。 提供される検出と軽減策は、以下で評価するツールだけでなく、このレポートの範囲外のカスタム (脅威アクター固有の) ツールにも使用できます。 ESXi システムに対するランサムウェア以前の脅威ハンティング、検出、および軽減を検討している組織は、提供されている検出を出発点として、環境に固有の検出を開発し、階層化されたセキュリティ アプローチの一部として使用する必要があります。 現在ESXiで利用可能なEDR(Endpoint Detection and Response)やアンチウイルスソフトウェア(AV)などの防御製品はまだ普及しておらず、組織の仮想化への依存度も高まっているため、脅威アクターにとって魅力的な標的となり、運用上のダウンタイムや組織の風評被害につながる可能性があります。

Key Takeaways

背景

ランサムウェアグループは、ツールセットの進化と拡大を続けており、より専門的なターゲットに焦点を当て、収益を得る機会に基づいてより洗練されたツールを作成しています。 VMware ESXi は、仮想インフラストラクチャの導入と提供のために設計された、市場をリードするエンタープライズ グレードのハイパーバイザーです。 ESXiを標的とするランサムウェアは、サーバーインフラストラクチャの大部分を仮想化する方向にシフトしている組織に脅威を与え続けます。 仮想化インフラストラクチャを保護する方法は、テクノロジーの独自の性質と、仮想化用に設計された防御製品が比較的初期段階にあるため、複雑です。 これらの要因の結果として、ESXi は金銭的な動機を持つ脅威アクターにとって非常に魅力的なターゲットとなります。

2020年には、パンデミックによって初期アクセスが利用可能になったことと、複数の重大な脆弱性(CVE-2018-13379、CVE-2019-11510、CVE-2019-19781など)により、脅威アクターが主にWindowsベースのネットワークを標的にしていたため、ESXiランサムウェア攻撃に関する言及はほとんどありませんでした。 組織がランサムウェアに対するより効果的な防御で対応し、脅威アクターが仮想化ネットワークの防御ギャップを認識するにつれて、脅威アクターはESXi固有のランサムウェアと手法を作成し始めました。 2021年には、ESXiランサムウェアが関与するサイバー攻撃が増加しました。 2022年には、以下の図1に示すように、より多くのランサムウェアグループによるランサムウェア攻撃と、仮想化インフラストラクチャを標的とした高度なTTPとツールが前年比で3倍に増加していることが確認されました。

esxi-001.png
図 1: ランサムウェア攻撃 ESXiに着目し、1年で3倍に増加(情報源: Recorded Future)

編集者注:これはレポート全文の抜粋です。文末脚注付きの分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。