新しいロイヤルトロイの木馬の亜種が発見され、VMware ESXi仮想マシンを標的に

セキュリティ研究者のウィル・トーマスがEquinix Threat Analysis Centre (ETAC)で、コマンドラインを使用して実行されるロイヤルトロイの木馬の新しい亜種を発見しました。

このようにして、ロイヤルトロイの木馬は、特にVMware ESXi仮想システムを標的にしたLinuxデバイスの暗号化をサポートする最新のトロイの木馬となります。

AvosLocker、Hive、Black Bastaなどのグループによって押し出された同様のランサムウェア暗号化器のいくつかの事件がありました。

また、複数のフラグをサポートしており、ランサムウェアオペレーターに暗号化プロセスに対するいくつかの制御を与えます。これらは以下のフラグです。

-stopvm > 実行中のすべてのVMを停止して暗号化できるようにします。
-vmony - 仮想マシンのみを暗号化します。
-id: idは32文字でなければなりません。
-fork - 不明
-logs - 不明

ランサムウェアがファイルを暗号化すると、VM上のすべての暗号化されたファイルに.royal_u拡張子が追加されます。

アンチランサムウェアメカニズムはランサムウェアの検出に問題がありましたが、現在ではVirus Totalの63のマルウェアスキャンエンジンのうち23を検出しています。

ロイヤルランサムウェアは、以前にContiランサムウェアを運営していた経験豊富な脅威アクターによってプライベートに所有されています。ロイヤルランサムウェアは2022年1月に最初に発見され、9月には悪意のある活動が増加しました。

当初、脅威アクターはBlackCatなどの他のオペレーションから暗号化器を使用し、その後、Contiランサムウェアと同様の身代金メモを送信するZoenのような自分たちのものに変更しました。

読む: 攻撃者がOneNote添付ファイルを悪用してRATマルウェアを広める

9月に、脅威攻撃者はこの亜種をロイヤルとして再ブランド化し、同じ名前の身代金メモを送信する新しい暗号化器を攻撃に展開し始めました。

その後、グループはターゲットの企業ネットワークシステムを暗号化した後に身代金を要求します。

米国保健福祉省も、医療および公共部門を標的にしたロイヤルランサムウェアに対して警告を発しました。

これは、脅威攻撃者がESXI仮想マシンを標的にするのは初めてではありません。企業がデバイス管理を改善し、より効率的なリソース管理を行うためにVMを使用し始めたからです。

ESXiホストにペイロードを展開する際、脅威攻撃者は単一のコマンドを使用して複数のサーバーを暗号化します。ここで注目すべき点は、グループがESXiを標的にしたLinuxに基づくランサムウェアを実装したことです。

インターネット上の多くのVMware ESXiサーバーは最後の一手を受けました。彼らは今後技術サポートを受けるだけですが、セキュリティアップデートのみを受け取ることになり、身代金攻撃に対して脆弱になります。

読む: Netflixのパスワード共有に関する厳格な措置: 期待すべきこと