※本記事は、CYLANCE社のブログ記事を事前承諾のもと転載し、作成しております。
なお、内容は2017年10月25日に米国で公開された抄訳版です。原文はこちらからご覧いただけます。
6月に発生した非常に大規模なPetya-Likeの攻撃の後、とてもよく似た新しいランサムウェアがロシア、ウクライナなど、いくつかの国々で拡がっていることが発見されました。 Bad Rabbitは、ドライブバイダウンロードで配布されていたことが報告されていますが、その他にもSMBを介して伝播する機能と、ファイルの暗号化と感染したシステムの正常な起動を防ぐ機能も含まれています。
Bad Rabbitはファイルを変更するだけでなく、ファイルシステムとMBR(Master Boot Record)根本を変更する厄介なランサムウェアです。Mimikatzを使用して資格情報を収集し、SMBを使用してブルートフォースログインを試みます。それが組織内でアクティブになると多くの場合で成功して迅速に広がり、システムのプロセスを完全に動作不能にします。
コードレベルでは、Bad Rabbitは最近のPetya-Like/NotPetya attack攻撃と多くの類似点を共有しており、同じ作成者が関与しているという強い兆候があります。
技術的な観点からは、Bad Rabbitは、NotPetyaよりもはるかに完全かつ機能的なランサムウェアで、復号鍵と支払い情報を提供するために、少し堅牢なTORのサービスに依存しているため、完全に機能するランサムウェアです。
我々が上記で述べたことを言い直すと、Bad RabbitとNotPetyaの主な違いのいくつかは、Bad RabbitマルウェアがEternal*エクスプロイトを拡散に使用しているという証拠はないということです。代わりに、ユーザー名とパスワードの埋め込みリストを使用して、Mimikatzで入手した資格証明とともに、共有へのアクセスをブルートフォースします。
Cylanceのリサーチチームは、この脅威を今後も分析して、ユーザーのデータを復号化するために利用できる暗号化プロセスの実装上の弱点があるかどうかを判断します。
エンドポイントプロテクションのプロテクトキャット(CylancePROTECT®をご利用のお客様はこの攻撃からすでに保護されています。プロテクトキャット(CylancePROTECT®)をご利用でない場合は、当社のAIを活用したソリューションが未知の脅威や新たな脅威をどのように予測し防御するかについてお問い合わせください。
