The Hacker Newsは2月16日(米国時間)、「ESXiArgs Ransomware Hits Over 500 New Targets in European Countries」において、ヨーロッパ諸国でVMware ESXiサーバを標的とするランサムウェア「ESXiArgs」が猛威を奮っていると伝えた。ESXiArgsの攻撃により、新たに500台以上のホストが一斉に感染したことが明らかになった。
フランス、ドイツ、オランダ、イギリス、ウクライナにあるVMware ESXiサーバが標的にされ、ランサムウェアの被害にあったことが報告されている。これはESXiArgsの感染状況を調査しているCensysが公表したものであり、最初の感染セットはサポートが終了したVMware ESXi 6.5および6.7の2つのホストに対するランサムウェア攻撃だったとされている。
この最初のランサムウェア攻撃は2022年10月中旬にまで遡り、2023年2月初旬にESXiArgsキャンペーンの流行が始まった時期よりも前だったと述べられている。この2つのホストに感染したESXiArgsの身代金を要求するメッセージは類似しており、その後2023年に発生した波で使用されている身代金要求メモに更新されたことも確認されている。
-
ESXiArgs Ransomware Infections
2022年10月から2023年2月かけて変異していったESXiArgsの身代金を要求するメッセージは、2022年に登場したCheerscryptの身代金を要求するメッセージと文言が似ていると分析されている。そのため、ESXiArgsもCheerscryptのソースコードのベースとなったBabukのコードをベースにしている可能性があると評価されている。
脆弱なVMware ESXiサーバを狙うランサムウェアとしてESXiArgsの脅威が増している。新種も登場しており、被害を拡大させている。VMware ESXiサーバを利用している場合、セキュリティ対策を確実に実施するとともに、脅威に対応していくことが望まれている。
