注目度低いVMware ESXiの脆弱性を悪用するランサムウェア攻撃者に注意

○影響と対策

BlackByteのランサムウェアバイナリは開発言語がC#からGoを経てC/C++へと進化した。C/C++は高度な分析回避、デバック回避技術を組み込めることから、セキュリティソリューションを回避しようと努力した結果とみられている。

BlackByteの暗号化ツールはワーム(自己増殖)機能があり、BYOVDの使用と相まって防御を困難にする。しかしながら今回の分析において、埋め込まれたアカウント情報を使用して増殖していると考えられる活動が確認された。そのため、全ユーザーの資格情報とKerberosチケットのリセットが封じ込めに有効な可能性がある。

Cisco Talosはこれ以外にも複数の防御策を提案しており、VPNサーバおよびVMware ESXiを運用している管理者に防御策の実践を推奨している。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）