更新:ロシアのメディアやウクライナの交通ハブにあるコンピューターは、急速に拡散している別のランサムウェアの亜種によって今日感染しシャットダウンされた Windows PC の中に含まれていました。
インターファクス通信とロシアの他の大手ニュース出版社2社の社内システムが、「BadRabbit」と呼ばれるマルウェアによってファイルを暗号化され、身代金を要求されました。ウクライナでは、オデッサ空港、キエフ地下鉄、インフラ省もこの恐喝ウェアの被害に遭い、暗号化された文書の復元と引き換えにビットコインを要求されました。
ESETの研究者によると、BadRabbitはトルコ、ブルガリアなどにも拡散している可能性があり、Diskcoderの亜種であるとのことです。ウイルス対策ソフトメーカーのAvastもポーランドと韓国でBadRabbitを検出しました。
インターファクスは声明で、「インターファクス・グループのサーバーがハッカー攻撃を受けました。技術部門はニュースサービスの再開に向けてあらゆる対策を講じています。ご不便をおかけしたことをお詫び申し上げます」と述べた。
この悪質なソフトウェアは、Adobe Flashのアップデートを装い、被害者を騙してインストールさせようとしました。このマルウェアを最初に発見したロシアのデジタルフォレンジック企業Group-IBによると、ハッキングされたメディアウェブサイトにアクセスしたユーザーに、この怪しいダウンロードが送りつけられたとのことです。
#BadRabbit は、侵害されたメディアサイトからのウェブトラフィックを介して拡散されました。#infosec #ransomware #cryptor pic.twitter.com/7GPsgZ2s3A
— Group-IB (@GroupIB_GIB) 2017年10月24日
この悪質なコードは、Windows PC にインストールされて実行されると、正規のオープンソース ツールである Mimikatz を使用して、6 月に NotPetya ランサムウェアで使用されたのと同様に、コンピューターのメモリからファイル サーバーのログイン認証情報を抽出し、その詳細とハードコードされたパスワードの推測値を利用して、被害者のネットワーク上の SMB 共有に侵入しました。
BadRabbitは、感染対象サービスを探してスキャンしている間に、ネットワーク侵入検知システム(NDS)にEternalBlueの警告を発動させるケースもあった。これは、5月にWannaCryマルウェアが行ったように、NSAから流出したハッキングツールを利用してマシンを乗っ取った可能性を示唆している。しかし、シスコのTalosチームは、NSAのサイバー兵器が使用された証拠は確認されていないと述べている。
マルウェアはシステムファイルを暗号化した後、ブートドライブのマスターブートレコードを書き換え、コンピュータを再起動しました。オペレーティングシステムを起動する代わりに、黒地に赤文字の画面を表示しました。これは、ファイルが暗号化されていること、そしてTorネットワークに隠された.onionウェブサイトから暗号通貨を使ってパスワードを購入する必要があることをユーザーに通知しました。そして、そのパスワードを感染したPCに入力することで、ドキュメントのロックを解除し、マシンを通常通り起動できるようになります。
BadRabbit という名前は、.onion の支払い Web ページの上部にある見出しに由来しています。
Pwned ... .onion ウェブサイトに身代金要求メッセージが表示される様子 (出典: Kaspersky Lab)
Group-IBは、今回の攻撃の背後にいる犯罪者が、復号パスワードに対して0.05BTC(286ドル、217ポンド)を要求したと指摘した。被害者が身代金の支払いを遅らせるほど、この価格は上昇し続けるだろう。
英国のセキュリティコンサルタント、ケビン・ボーモント氏によると、BadRabbit は DiskCryptor と呼ばれる正規のプログラムを使用して被害者のハードドライブ上のデータを暗号化したという。
分析作業はまだ進行中です。BadRabbitは、.7zアーカイブから.javaソースコード、.docxドキュメントまで、ドライブ上のあらゆる種類のファイルを暗号化しました。ご自身やネットワークが感染しているかどうかを確認するための指標のリストはこちらにあります。例えば、caforssztxqzf2nm.onionへのネットワーク接続や、…からのダウンロードなどです。
hxxp://1dnscontrol.com/flash_install.php hxxp://1dnscontrol.com/install_flash_player.exe
...かなり大きな侵入の兆候です。
この段階では、BadRabbit はシステム ログとファイル システム ジャーナルを消去し、感染後にコマンド アンド コントロール サーバーに接続して恐喝行為を調整していたと考えられています。
Windows 10 Fall Creators Update 搭載PCでランサムウェア対策を有効にしてください。
続きを読む
また、被害者のキー入力を盗聴するためにカーネルレベルのキーロガーも埋め込まれたと主張されている。
このマルウェアを調査しているエイリアンボールトのセキュリティ研究者クリス・ドーマン氏は、「ウクライナの空港が破壊的なサイバー攻撃を受けたのは今回が初めてではない。我々は現在、ノットペトヤ攻撃とのつながりの強さを判断するために調査を行っている」と述べた。
「この攻撃のメカニズムには、Mimikatzというツールを使ってパスワードを盗み、ワームのような形で拡散するという内容の報告があるが、今のところ被害はWannaCryやNotPetyaほど広範囲には及んでいないようだ。」
様々なウイルス対策ソフトは、BadRabbit(別名Diskcoder.D)が起動する前に検出・阻止します。実際、最初の.exeファイルを実行すると、インストールされているマルウェア対策ソフトを無効にするよう求めるウィンドウが表示される場合があります。Kaspersky Labによると、これらのファイルの実行をブロックすると…
C:\Windows\infpub.dat C:\Windows\cscc.dat
…BadRabbitの実行を無効化できるはずです。また、管理者として、あるいはユーザーとして、怪しいAdobe Flashのアップデートをクリックしないことも効果的です。Kasperskyは、BadRabbitの開発者と、以前のNotPetyaの流行を引き起こした犯罪者との関連性を指摘しています。®
