2017年10月24日火曜日の朝、ロシアとウクライナの組織は、ランサムウェアに襲われ、業務をマヒさせたと報告しています。 また、異なる情報源からの報告によると、トルコ、ドイツ、ブルガリア、および日本でも散発的な事例が記録されました。
マルウェアの自称は Bad Rabbit で、エンドポイント上のファイルを暗号化してロックし、解放のための支払いを要求するよう設計されたランサムウェア コードです。 Bad Rabbit は、被害者がファイルのロックを解除するために支払うよう誘導される Dark Web サイトの名前でもあります。
この記事の執筆時点では、Bad Rabbit は主にロシアの組織を攻撃したものと理解されています。 より具体的には、同国のメディア企業で被害が発生しています。 718>
ウクライナでは、輸送部門の重要なインフラストラクチャ組織が攻撃されました。 犠牲者の1人は、同国第3の都市にあるオデッサ空港で、乗客データの手動処理によりフライトの遅延が発生しました。 ウクライナでは、地下鉄も影響を受け、列車は通常通り運行したものの、顧客サービス端末で支払いの遅れが発生しました
Bad Rabbitは、2017年の第2四半期に多数の組織に影響を与えたWannaCryおよびNotPetyaワームに続く、今年3番目の破壊的ランサムウェアアウトブレイクと言えます。 とはいえ、Bad Rabbitの伝播手法は同じエクスプロイトに基づくものではないため、全体として封じ込めやすくなっているかもしれません。
IBM INCIDENT RESPONSE SERVICESからランサムウェア対応ガイドをダウンロード
Bad Rabbitの伝播
現在入手できる情報によると、ほとんどの財政的動機によるランサムウェアと異なり、Bad Rabbitは電子メールで拡散しないことが分かっています。 何十億ものスパムおよびマルスパムメッセージを分析する IBM X-Force によると、Bad Rabbit は電子メールキャンペーンで送信されたものではありません。 セキュリティ・コミュニティでは、この感染は、数か月前から行われていた可能性のある標的型攻撃であると推測する声もありますが、まだ確認されていません。
Bad Rabbit の運営者は、ユーザーのエンドポイントに到達するために、ニュースやメディアのサイトを侵害し、訪問者を彼らが管理する悪質なランディングページにリダイレクトさせることに成功しました。 これらのページでは、ユーザーは Adobe Flash の更新をインストールするように勧められ、その時点で悪意のあるダウンロードが行われ、エンドポイントにファイルをドロップするためのアクションを要求しない、いわゆるドライブバイ攻撃でマルウェア ドロッパーが配信されました。 マルウェアの運営者のメモには、ファイルのロックを解除するために0.05 BTCの身代金が要求されています。
セキュリティ コミュニティからの情報によると、マルウェアの伝播に使われたWebサイトは、2017年6月にマルウェア NotPetyaを配布するために使われたのと同じサーバーでホストされていました。 その所定のWebサイトのネットワークは、2017年7月から時間をかけて設定されていたようです
あるセキュリティベンダーによる注目すべき言及では、すべての企業が同時期に感染したと報告されています。 そのベンダーは、攻撃者がすでに被害者のシステムの一部に入り込んでいる可能性があると推測しています。 その場合、攻撃者はマルウェアを直接起動できないのでしょうか。
この疑問は、別の選択肢を提起しています。 水飲み場式の攻撃で、感染したメディア サイトの 1 つに誘導するために、少なくとも 1 つの標的型電子メールが各被害者に送信された可能性はないでしょうか。 718>
Moving Through Networks
Bad Rabbit は、追加のエンドポイントへの到達を支援するいくつかのツールを使用して、ネットワーク全体に広がります。 IBM X-Forceによると、このマルウェアはWindowsのSMB機能を使用しますが、以前EternalBlueエクスプロイトによって使用された方法とは無関係です。 さらに、Bad Rabbitは、ネットワーク上の他のユーザーのパスワードを取得するために、Mimikatzツール(悪意のある目的ではなく、テスト用ツールとして構築されたが、それでも攻撃者によく使用される)を活用しているようです。 このマルウェアには、ハードコードされた基本的なパスワードもいくつか含まれていました。 奇妙なことに、1995 年の映画「ハッカーズ」によると、それらは最もよく使われるパスワードとされています。
Payment Demand
Bad Rabbit は、暗号化されたファイルにかけられたロックを解除するために 0.05 BTC の身代金を要求しています。 この記事の執筆時点では、1 BTC は約 5,450 ドルであり、最初の身代金要求はおよそ 273 ドルということになります。 身代金のメモは感染したエンドポイントの画面に表示され、専用の Web サービスにアクセスするように指示します。
通信を匿名に保つために Tor ネットワーク上でホストされている攻撃者の Web サイトに入ると、被害者には支払いまでに約 41 時間しかないとの警告が表示されます。 そして、被害者には、自分のファイルを解除するための復号化キーである「パスワード」を待つカウントダウン時計が表示されます。 この通知の時点では、攻撃者が本当にファイルを復号化できるかどうかは確認されていません。
An Ongoing Situation
Bad Rabbit攻撃は、セキュリティ ベンダーが情報を公開し、組織が詳細を把握して攻撃を抑制する中で発展しています。 IBM のお客様は、X-Force Exchange で、IBM Security 製品による Bad Rabbit 攻撃への対応についての専用ページをご覧ください。 IBM Security の X-Force Research からの直接の技術的な更新については、X-Force Exchange コレクションにアクセスしてください。ここでは、この状況の展開に応じて、研究およびインシデント対応チームが情報を提供します。
すべての組織は、発生について社員に知らせ、感染の流れを説明し、今後数時間のうちに Bad Rabbit について非常に警戒するよう強く勧告されます。
Bad Rabbitは、このリリースの時点では、米国内の企業に影響を与えていませんが、あるウイルス対策ベンダーは、遠隔測定で米国内のいくつかの感染を表示していると指摘しています。
米国以外の組織では、Bad Rabbit キャンペーンに関連する感染について、地域緊急対応チーム (CERT) および電子犯罪警察に報告することが推奨されます。
あなたの会社が影響を受けたと思われ、支援が必要な場合は、IBM X-Force 24×7 Incident Response Hotline:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Denmark: (+45) 4331 4987
フィンランド: (+358) 9725 22099
ラトビア: (+371) 6616 3849
ノルウェー: (+47) 2302 4798
サウジアラビア。 (+966) 800 844 3872
サウジアラビア:(+966) 800 844 3872
サウジアラビア: (+966) 800 850 0399
スウェーデン。 (+46) 8502 52313
UK: (+44) 20 3684 4872
Don’t pay Ransomware Attackers
IBM の調査によると、以前にランサムウェアの被害を受けた企業の 70% が、会社データを回復するために身代金を支払ったことがあると回答しています。 そのうち50パーセントは1万ドル以上、20パーセントは4万ドル以上支払っています。 Bad Rabbit の影響を受けた組織や個人は、攻撃者にお金を支払わないようにすることが重要です。 この記事の執筆時点で、ウイルス対策ベンダーは、暗号化されたファイルのロックを解除するのに役立つ署名といくつかの復号化オプションを公開しています。
この攻撃は、金銭的利益よりも混乱を目的として設計された可能性が最も高いです。 封じ込めおよび IBM 製品の適用範囲に関する詳しいアドバイスは、今後数時間のうちに提供される予定です。
ランサムウェアからシステムを安全に保つための一般的なアドバイスについては、ランサムウェア対応ガイドを参照してください。