Petyaランサムウェアの感染拡大は、プロによるWannaCryの攻撃です

エフセキュアは、5月の歴史的な感染拡大のように拡散する、新たなランサムウェアをブロックします。今回は犯罪者が専門家のようです。

著者: F-Secure Business Security Insider
日付: 2017年06月27日
読了時間: 1 分

今、特に厄介なランサムウェアファミリーの感染が世界中に拡散しています。この流行は先月のWannaCry流行(英語ページ)と類似していますが、セキュリティ研究者は、現在のキャンペーンは、もっとプロフェッショナルであり、潜在的には企業にとって、はるかに悪質と警告しています。

エフセキュア研究所は、今回使用されているランサムウェアが、Petyaランサムウェアファミリー(英語ページ)であり、ネットワークワームのように振る舞って、WannaCryと同じSMB脆弱性(NSAによって開発されたEternalBlueエクスプロイトを使用)を介して拡散していることを確認しました。

エフセキュア研究所のJarkkoは、彼が2016年に書いたブログ記事のなかで、Petyaを邪悪なひねりを含んだランサムウェア(英語ページ)と評しました。ただ単にファイルを暗号化するだけではなくディスク全体をロックするので、基本的に、感染を除去するまでは使用できなくなってしまいます。

不幸なPetyaの犠牲者は、おそらく次のような画面を目にします。

このキャンペーンの感染ベクタは未だ不明ですが、最終的な結果は基本的に同じです。

ほとんどの暗号化ランサムウェアファミリーは、被害者のハードドライブ上のファイルをターゲットにし、暗号化します。つまり、犠牲者はこれらのファイルにアクセスすることができなくなりますが、オペレーティングシステムを使用することはできます。 Petyaは、ハードドライブ自体の一部を暗号化して、Windowsを含むドライブ上のすべてにアクセスできないようにすることで、被害を次のレベルに引き上げるのです。

技術的に言えば、次のようなことが起こります。

  • 悪意のあるファイルが実行されます
  • スケジュールされたジョブが作成され、1時間後に感染したマシンが再起動されます(ユーザにはこのように見えます
  • 再起動を待つ間、Petyaは次に感染させるネットワーク内のマシンを探し出します
  • 感染させるIPアドレスを収集した後、PetyaはSMBの脆弱性を悪用し、自身のコピーをターゲットマシンにドロップします。
  • 再起動時に暗号化が開始され、身代金メッセージが表示されます。

今回の感染拡大は、フランス、インド、スペイン、英国、米国、ロシアなど、世界中の組織に影響を与えています。そしてWannaCryと同じく、ウクライナのこのATMのような人々が頼りにしているシステムを完全に停止させています。

WannaCryのケースでは、賢明なセキュリティ研究者が、背後にいる攻撃者の不注意なミスを利用することができました(英語ページ)。しかし、エフセキュアのセキュリティアドバイザーであるSean Sullivan(英語ページ)には、今回それが再び起こるようなミスは見当たらないようです。

「WannaCryの攻撃者は、彼らが生みだした大量の犠牲者をうまく処理できなかったために失敗しました。しかし、このPetyaキャンペーンは、基本的にはまだ第1ラウンドであり、よりプロフェッショナルになっていて、現金化する準備を整えています。」とSeanは述べます。「世界的なランサムウェア攻撃が開始される時、アマチュアの時間は完全に終わりです。」

これまでに、約30人が攻撃者に身代金を支払って、デバイスのロックを解除しました。Seanによると、明らかに攻撃者はEメールアドレスをプロバイダにブロック(英語)されていましたが、あまり役には立たないでしょう。それでマルウェアの拡散を阻止できるわけではないですから。

したがって、今後組織はPetyaの感染を避けるために厳重に注意する必要があります。 WannaCryと類似しているため、同じセキュリティに関するアドバイスの多くが有用です。Windowsの更新、可能であればポート445での受信トラフィックをブロックするようにファイアウォールを設定し、エンドポイント保護を使用します。エフセキュア製品には、Petyaや他の種類のランサムウェアからお客様を保護するための、さまざまな保護手段が組み込まれています。

エフセキュアは、新たな状況が明らかになり次第、ビジネス セキュリティ インサイダーでアップデートを掲載していきます。また、エフセキュアのチーフリサーチオフィサーであるMikko Hypponenのツイートをリアルタイムでフォロー(英語)することもできます。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中