新しいランサムウェアキャンペーンがロシアと東ヨーロッパで多くの著名人をターゲットにして発生しました。
Bad Rabbitと名付けられたこのランサムウェアは、10月24日(火)に初めてシステムに感染し始め、組織が同時に被害を受けたように見えることから、直ちに今年のWannaCryおよびPetyaの流行と比較されるようになりました。
1.サイバー攻撃はロシアと東欧全域の組織を襲った
ロシアとウクライナ全域、およびドイツとトルコの少数の組織が、このランサムウェアの犠牲になっている。
ロシアのサイバーセキュリティ企業であるGroup-IBは、同国の少なくとも3つの報道機関がファイル暗号化マルウェアに感染したことを確認し、同時にロシアの報道機関Interfaxは、システムが「ハッカー攻撃」の影響を受け、事件によってオフラインになっているように見えると発表しました。
オデッサ国際空港やキエフ地下鉄を含む地域の他の組織もサイバー攻撃の犠牲になったと声明を出し、ウクライナのコンピュータ緊急対応チームであるCERT-UAも、Bad Rabbit感染の報告が届き始めると、「ウクライナの情報資源に対するサイバー攻撃の新しい波が始まる可能性」が発生したと掲示しました。
執筆時点では、感染した標的は200近くあると考えられており、WannaCryやPetyaのような攻撃ではないことを示しています — しかし、感染した組織に問題を引き起こしています。
Avastのマルウェアアナリスト、Jakub Kroustekは、「既知のサンプルの総流行は他の「一般」系統に比べて非常に低い」と述べています2.Bad Rabbitは、ウクライナの情報資源に対するサイバー攻撃の新たな波が始まった可能性があります。 ランサムウェアであることは間違いない
不運にも攻撃の犠牲になってしまった人々は、ランサムウェアが巧妙でないため、何が起こったのかすぐに気づきました–被害者には、ファイルが「もうアクセスできない」「我々の復号サービスなしでは誰も回復できない」という身代金のメモが提示されます。
イメージ図。 ESET
被害者はTorの支払いページに誘導され、カウントダウンタイマーが表示されます。 最初の40時間ほどで支払うと、ファイルを解読するための支払いは0.05ビットコイン(約285ドル)であることが告げられます。 タイマーがゼロになる前に身代金を支払わない人は、料金が上がり、もっと支払わなければならないと言われます。
暗号化には、オープンソースの正規品でフルドライブの暗号化に使われるソフトウェア「DiskCryptor」を使用しています。 この鍵はCryptGenRandomで生成され、ハードコードされたRSA 2048公開鍵で保護されます。
3. Petyaに基づいている/Petyaではない
身代金請求書が見覚えがあるとすれば、それは6月に発生したPetyaの被害者が見たものとほぼ同じだからです。 Crowdstrikeの研究者による分析では、Bad RabbitとNotPetyaのDLL(ダイナミック・リンク・ライブラリ)は、同じコードの67%を共有しており、この2つのランサムウェアは密接に関連しており、同じ脅威者の作品である可能性もあることがわかりました。
4.危険なWebサイト上の偽のFlashアップデートで広がる
Bad Rabbitの主な広がり方は、ハッキングされたWebサイト上でのドライブバイダウンロードです。 悪用されることはなく、危険にさらされた Web サイトの訪問者(その一部は 6 月以降に危険にさらされている)に、Flash の更新プログラムをインストールする必要があることを伝えるのです。 7287>
感染したWebサイト(主にロシア、ブルガリア、トルコを拠点とする)は、HTMLの本文または.jsファイルのいずれかにJavaScriptが注入されることで危険にさらされます。 Bad Rabbitは、Petyaと同様に、SMBコンポーネントを含んでおり、感染したネットワーク上を横方向に移動し、ユーザーの介入なしに伝播することができるという強力なトリックを持っていると、Cisco Talosの研究者は述べています。
6……but it doesn’t use EternalBlue
Bad Rabbitが最初に現れたとき、WannaCryのようにEternalBlueエクスプロイトを利用して拡散することを示唆するものがありました。 しかし、現在はそうではないようです。
Talos のセキュリティ リサーチ部門のテクニカル リーダーである Martin Lee 氏は ZDNet に、「現在、EternalBlue エクスプロイトが感染の拡大に利用されているという証拠はない」と語りました。
7.It may not be indiscriminate WannaCry 大感染後の同じ時点で、世界中の数十万のシステムがランサムウェアの犠牲になっていたのです。 しかし、Bad Rabbitは無差別にターゲットに感染しているようには見えず、むしろ研究者は選択したターゲットにのみ感染することを示唆しています。
「我々の観測では、これは企業ネットワークに対する標的型攻撃であったと考えられます」と、Kaspersky Labの研究者は述べました。
一方、ESETの研究者は、感染したウェブサイトに注入されたスクリプトの指示は、ターゲットが感染に適していると判断された場合、「訪問者が興味を持つかどうかを判断し、ページにコンテンツを追加できる」と述べています。
しかし現段階で、ロシアとウクライナのメディア組織とインフラがこの攻撃で特に標的とされた明白な理由はありません
8.この攻撃で、私たちは、私たちが必要とするものを提供します。 誰が背後にいるのかは不明
現時点では、誰がなぜこのランサムウェアを配布しているのかは不明ですが、Petyaとの類似性から、Bad Rabbitが同じ攻撃グループによるものだと指摘する研究者もいます–ただし、6月の流行の犯人が特定されていないため、これも攻撃者や動機の特定には役立ちません。
この攻撃の特徴は、主にロシアに感染していることです。東ヨーロッパのサイバー犯罪組織は、「母国」への攻撃を避ける傾向があり、これはロシアのグループである可能性が低いことを示しています
9. このコードには、テレビシリーズや原作小説に登場するドラゴン「Viserion」「Drogon」「Rhaegal」への言及が含まれているため、「Bad Rabbit」の背後にいる人物は、「Game of Thrones」のファンであると思われます。 したがって、コードの作者は、ハッカーはギークやオタクであるというステレオタイプなイメージを変えるようなことはあまりしていません。
イメージ Kaspersky Lab
10. 現段階では、身代金を支払わずにBad Rabbitによってロックされたファイルを復号化できるかどうかは不明ですが、研究者は、被害者は料金を支払ってはならず、それはランサムウェアの成長を促進するだけであると述べています。 しかし、この攻撃の犠牲になる可能性がないことを確認したい人のために、Kaspersky Lab は、ユーザーがファイル ‘c’ の実行をブロックすることができると述べています。
過去の記事
Bad Rabbit ランサムウェア。 Petyaの新しい亜種が広がっていると研究者が警告
更新しました。 ロシアやウクライナなどの組織がランサムウェアの新種と思われる被害に遭っています
READ MORE ON RANSOMWARE
- After WannaCry, ransomware will get worse before it gets better
- Ransomware.comでは、ランサムウェアの新種とされる「Petya」を紹介しています。 ウェブ上で最大の脅威の1つであるランサムウェアのエグゼクティブガイド
- PetyaとWannaCryの後にランサムウェアを避けるための6つのヒント(TechRepublic)
- 重要なサイバーセキュリティ更新プログラムを適用しないことが、あなたの会社を次のWannaCryやPetyaの危険にさらしている
- WannaCryランサムウェアから自分を守るには(CNET)