Kyberランサムウェアの二重の脅威: WindowsとESXi攻撃の解説

Ruslan Mikhalov SOC Primeの脅威リサーチ責任者

フォローする

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

Kyberは、VMware ESXiシステムとWindowsファイルサーバーの両方にデータを暗号化するよう設計されたクロスプラットフォームのランサムウェアの脅威です。オペレーターは、 esxcli, PowerShell、および vssadmin のようなネイティブユーティリティを利用して仮想マシンをシャットダウンし、シャドウコピーを削除し、影響を受けた環境全体にランサムノートを分配します。2026年3月に研究者たちは、ESXiをターゲットとするELFバイナリと、Windows向けに構築されたRustベースのPEファイルという2つの関連サンプルを回収しました。これらのバリアントは、共有トールベースのインフラと共通のキャンペーン識別子を介してリンクされていました。

調査

Rapid7はESXiおよびWindowsの両方のペイロードを取得し、その振る舞いをよりよく理解するために静的解析を行いました。研究で明らかになったのは、マルウェアがRSA-4096キーラッピングを使用したChaCha8に基づくカスタム暗号化ルーチンを使用していることです。一方でWindowsバージョンはKyber1024とAES-CTR暗号スキームも組み込んでいます。調査員は、ターゲットとするファイル拡張子、ランサムノートの配置、サービス終了動作、そしてBoomplay URLに関連する特有のミューテックスを記録しました。

緩和策

推奨される防御策には、SSHを無効にして可能であればESXiアクセスを強化し、多要素認証を強制することが含まれます。さらに、 vssadmin, wmicなどのネイティブユーティリティへのアクセスを制限し、 regします。組織は不変性を通じてバックアップを確保し、VMware管理ファイルの変更や .#~~~ .ファイル拡張子の出現を密接に監視するべきです。追加の検出は、特定されたミューテックスおよびキャンペーンに関連する特定のランサムノートのファイル名に焦点を合わせるべきです。

対応策

Kyberの活動が検出された場合、直ちに影響を受けたシステムを隔離し、マルウェアサンプルを保存し、不変なバックアップを使用して復旧を開始します。セキュリティチームはキャンペーンIDに結び付けられたTor隠しサービスへのアクセスをブロックし、ミューテックスを削除し、マルウェアによってドロップされたランサムノートファイルを削除するべきです。その後、サービス終了イベント、レジストリの変更、および関連するシステムアクティビティを検査し、影響を受けた仮想マシンやホストをクリーンイメージから再構築して、完全なフォレンジックレビューを実行する必要があります。

"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% ノード – アクション action_initial_access["アクション – T1021.004 リモートサービス: SSH 攻撃者はSSHを通じてESXiホストに初期アクセスを取得します。"] class action_initial_access action action_defacement["アクション – T1564.012 アーティファクトを隠す: ファイルパスの除外 /etc/motdとVMwareのWeb UIページをランサムノートに置き換えます。"] class action_defacement action action_vm_enum["アクション – T1059.004 Unixシェル esxcliを使用して仮想マシンを列挙し、ソフトに終了します。"] class action_vm_enum action action_encryption["アクション – T1486 影響を与えるためにデータを暗号化する LinuxではChaCha8、WindowsではKyber1024を用いたAES‑CTRを使用してデータストアファイルを暗号化します。"] class action_encryption action action_anti_recovery["アクション – 複数の手法 バックアップサービスの停止（T1489 サービス停止）、VSSスナップショットの削除（T1485 データ破壊）、リカバリ環境の無効化（T1490 システムリカバリの妨害）、防御の阻害（T1562）。"] class action_anti_recovery action action_cleanup["アクション – T1070.001 インジケータ除去: Windowsイベントログのクリア Windowsイベントログを削除し、実行アーティファクトを除去します。"] class action_cleanup action %% ノード – ツール tool_ssh["ツール – 名前: SSH 説明: リモートコマンド実行のためのセキュアシェルプロトコル。"] class tool_ssh tool tool_esxcli["ツール – 名前: esxcli 説明: ホストと仮想マシンの管理のためのESXiコマンドラインユーティリティ。"] class tool_esxcli tool tool_encryptor["ツール – 名前: カスタム暗号化ツール 説明: ファイルを暗号化するためにChaCha8およびKyber1024を使用したAES‑CTRを実装します。"] class tool_encryptor tool %% フロー接続 action_initial_access –>|uses| tool_ssh action_initial_access –>|leads_to| action_defacement action_defacement –>|uses| tool_ssh action_defacement –>|leads_to| action_vm_enum action_vm_enum –>|uses| tool_esxcli action_vm_enum –>|leads_to| action_encryption action_encryption –>|uses| tool_encryptor action_encryption –>|leads_to| action_anti_recovery action_anti_recovery –>|leads_to| action_cleanup "

攻撃フロー

攻撃の物語とコマンド:
シミュレーションされた攻撃者は、悪用されたホストにおいてローカル管理者権限を取得し、ファイルを暗号化した後にシステムの復旧を妨げたいと考えています。Kyberランサムウェアの挙動に従い、攻撃者はまずWMIを通じてすべての既存のボリュームシャドウコピーを列挙し、PowerShellのワンライナーを使用してそれぞれを削除します。万一のため（または完全性を確保するために）、攻撃者もまた vssadmin.exe Delete Shadows /all /quietを走らせる。両方のコマンドが正確にSigmaルールに一致する、 CommandLine フィールドを生成し、警報を引き起こします。

回帰テストスクリプト:

# ----------------------------------------------
# Kyberスタイルのアンチリカバリシミュレーション
# ----------------------------------------------

# 1. PowerShell VSS削除（正確な一致）
$psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"'
Write-Host "PowerShell VSS削除を実行しています..."
Invoke-Expression $psCmd

# 2. vssadmin削除（正確な一致）
$vssCmd = 'vssadmin.exe Delete Shadows /all /quiet'
Write-Host "vssadmin削除を実行しています..."
& $vssCmd

Write-Host "シミュレーション完了。"

クリーンアップコマンド:

# このスクリプトによる永続的なアーティファクトは作成されません。
# PowerShellの実行ポリシーを元の状態にリセットする必要がある場合:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force
Write-Host "クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加