Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Petya/NotPetya ランサムウェア・キャンペーン

これは進行中で新しい話のため、投稿後に更新される可能性があります

今日、新しいワーム様式のランサムウェア・キャンペーンが開始されました。あなたが少し WannaCry デジャヴゥを経験しているなら間違いないでしょう。キャンペーンは、人によって Petya、NotPetya、PetWrap、Pnyetya とも呼ばれています。WannaCry を広めるために悪用さ れたのと同じ脆弱性 EternalBlue を使用しています(Petya は EternalRomance エクスプロイト も使用します)。これらの悪用は、Shadow Brokers が NSA のリリースを 4 月に発表したことの 一部として公開されました。Microsoft は 3 月に the MS17-010 の脆弱性を修正しました。 WannaCry を受けて、Microsoft は後に Windows XP のような古い Windows オペレーティングシ ステムのパッチもリリースしました。

マルウェアは EternalBlue / EternalRomance の脆弱性を介して拡散する能力を持っています が、マルウェアはインターネットではなく、ローカルエリアネットワークに拡散することに重点を 置いているようです。感染したシステムで最初に実行するアクションの 1 つは、ローカルの資 格情報を取得し、その資格情報を使用して他のローカルネットワークシステムに広めることで す。この横方向の広がりを実現するために、マルウェアは一般的な Windows ツール WMI と PSExec を使用します。これは、ネットワーク管理資格情報を持つシステムが悪用された場合、 被害が広がる可能性があることを意味します。最後に、感染は MeDoc と呼ばれるウクライナ のソフトウェアの偽のアップデートを通して起こるようです。一部の研究者は現在、MeDoc 感 染プロセスが、そこでのランサムウェアを取得する初期の方法であった可能性があることを示 唆しています。

実際に被害者のシステムに投下された実際のランサムウェアは Petya と呼ばれるランサムウ ェアファミリ、特に 2016 年末に発見された GoldenEye 変種をエミュレートしているようです。他 のマルウェアアナリストは、そのマルウェアは Petya ではなく、まったく新しい変種またはファミ リであることを示唆しています。

その家系によらずこのランサムウェアはランサムウェア分野では少し独特です。多くのランサ ムウェアは、ドキュメント、ムービー、イメージなどの重要なファイルを暗号化しますが、このラ ンサムウェアはファイルを暗号化した後、ハードドライブ全体を暗号化します。システムボリュ ーム、マスタファイルテーブル、マスタブートレコードを暗号化することで、Petya はシステムが Trustwave [Product Name] [Version Number] Release Notes - October 25, 2017 Copyright © 2017 Trustwave Holdings, Inc. All rights reserved. 2 正常に起動できないようにし、Petya 自身のブートローダに画面に表示された身代金を使って ブートローダにフックします。これにより、LiveCD やその他の OS で起動するなどの標準的な フォレンジック手法を使用したファイル回復の試みができないようにします。

感染後、Petya はあなたのファイルを解読するために約 300 ドルのビットコインを要求します。 ビットコインを転送した後、犯罪者にあなたの送信ウォレットのアドレスをメールで送信して、取 引を確認して解読キーで応答できるようにします。しかし犯罪者のメールアドレスはすでに明ら かにされているので、ファイルを解読するために身代金を支払うことは現時点では不可能で す。そのような貧弱な支払いチェーンであるため、多くの人が、身代金の収集がマルウェアの 目標ではないことを示唆しています。

ランサムウェアは今日フィールドで最も一般的な脅威の 1 つであり続けています。特にネット ワークの隙間や隅にパッチされていない貴重なデータとレガシーシステムの両方がある大規 模な組織にとっては、一貫性のある最新のシステムバックアップは、ランサムウェア感染から 回復するために非常に重要です。犯罪者は回復可能な場合、データの人質を保持することは できません。

システムにパッチを当てたり、レガシーシステムをアップグレードしたりすることは、感染の予防 に向けた長い道のりとなるでしょう。Microsoft は 3 月からこの攻撃で悪用された脆弱性に対 するパッチを公開しています。

フォレンジックとインシデント対応チームはまた、WannaCry の発生時に 5 月に脅威ブリーフ を まとめました。要約には、WannaCry を取り巻く多くの技術情報が含まれており、企業が EnternalBlue ベースの攻撃から身を守るための基本的なガイドとなっています。同じエクスプ ロイトが使用されているため、これは Petya の拡がりを防ぐためにも適用されます。

Trustwave のお客様は、次のような当社のセキュリティ製品の多くにおいて、このキャンペーン に対して積極的な防御策を見出すことができます。

  • エンドポイント用の Trustwave Managed Detection&Response(MDR)
  • Trustwave AV(ランサムウェア自体を検出できる)
  • Trustwave UTM(MS17-010 の利用をブロックする)
  • Trustwave Vulnerability Scanner(システムに MS17-010 パッチがない場合に検出され ます)

最後に、あなた自身またはあなたの組織が感染していることが判明した場合は Trustwave イ ンシデント・レスポンスチームがお手伝いします。詳細については次の URL に訪問していただ くかhttps://www.trustwave.com/Services/SpiderLabs-Services/Incident-Response-and-Readiness/ 、当社の 24 時間対応のインシデント・レスポンス・ホットラインに電話してくださ い:+1(866)659-9097 に電話し、"オプション 5 "を選択してください。