2017年10月26日

Bad Rabbit:新たな大規模ランサムウェア攻撃の兆し

脅威

※2017年11月2日更新:検知名を更新し、ファイル復号の可能性に関する記述を追加しました。

今年は、世を騒がせた大規模なランサムウェア攻撃が2つありました。WannaCry、そしてExPetr(別名PetyaとNotPetya)です。現在は、今年3つ目となる大規模攻撃が進行中と見られます。今回のランサムウェアは、Bad Rabbitと呼ばれています。身代金要求メッセージに掲載されているダークネットのWebサイトに、その文字列があったことが命名の由来です。

現時点で判明しているのは、ロシアの複数の大手報道機関がBad Rabbitに感染したということで、被害者としてはInterfax通信やFontanka.ruの名が挙がっています。オデッサ国際空港も情報システムへのサイバー攻撃があったことを報告していますが、同じ攻撃かどうかはまだ明らかになっていません。

攻撃の背後にいる犯罪者は、身代金として0.05ビットコイン(現在の為替レートで約280ドル)を要求しています。

当社の調査によると、今回の攻撃はドライブバイダウンロードと呼ばれるものです。マルウェアに感染しているWebサイトから偽のAdobe Flashインストーラーをダウンロードし、ダウンロードした実行可能ファイル(.exeファイル)を手動で実行すると、コンピューターが感染してしまいます。当社のリサーチャーは感染したWebサイトを数多く検知していますが、すべてニュースサイトまたはメディアのサイトでした。

当社のデータによると、被害者の大半はロシア国内に位置しています。ウクライナ、トルコ、ドイツでも同様の攻撃が確認されていますが、ロシアほどの規模ではありません。このランサムウェアは、ハッキングされた多数のロシア系メディアサイトを感染経路としています。調査結果から判断すると、これは企業ネットワークに対する標的型攻撃であり、ExPetrのときと同様の手口が使われています。

当社では、Bad Rabbitの攻撃と今年6月に発生したExPetrの攻撃とを関連づけるに足る証拠を収集しています。解析によると、Bad Rabbitで使用されているコードの一部は、ExPetrで使われていたものと一致が見られます。

このほかにも、ドライブバイダウンロード攻撃に使われるドメインのリスト(一部ドメインは6月にハッキングし返されているが未使用)が同一である、企業ネットワークを通じてマルウェアを拡散させるためにWindows Management Instrumentation Command-line(WMIC)を利用している、という類似点が認められます。一方で、相違点もあります。ExPetrとは異なり、Bad Rabbitは感染する際にEternalBlueエクスプロイトを使いません。ただし、LAN内を横展開する際にEternalRomanceエクスプロイトを使用します。

当社のエキスパートは、ExPetrとBad Rabbitの背後にいるのは同一の集団であり、Bad Rabbitの攻撃は2017年7月またはそれより早い段階で準備されていたと考えています。Bad RabbitExPetrとは違い、ワイパーではなく単なるランサムウェアと見られます。Bad Rabbitは何種かのファイルを暗号化し、改変されたブートローダーをインストールすることで感染コンピューターが通常どおりにブートするのを妨げます。ワイパーでないということは、Bad Rabbitの背後にいる犯罪者たちは、ファイルの復号やOSのブートに必要なパスワードを復号可能である可能性があります。

当社エキスパートによれば、暗号化に使われた鍵が判明しないかぎり、暗号化されたファイルを元に戻す術はありません。しかしながら、何らかの理由でBad Rabbitはディスク全体の暗号化を行っていないため、シャドウコピーからファイルを取得することが可能です(感染前にシャドウコピーが有効になっていた場合)。調査は現在も進行中ですが、現時点での技術的詳細については、Securelistの記事(英語)をご覧ください。

カスペルスキー製品はこの攻撃を以下の検知名で検知します。

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  •  Intrusion.Win.CVE-2017-0147.sa.leak

Bad Rabbitの攻撃で被害を受けないために、以下の対策をお勧めします。

カスペルスキー製品をお使いの場合:

  • システムウォッチャーとKaspersky Security Networkが有効になっていることを確認する。無効になっている場合は、有効にしてください。

カスペルスキー製品をお使いでない場合:

  • ファイル「c:\windows\infpub.dat」と「c:\Windows\cscc.dat」は開かないでください。
  • ネットワーク内でランサムウェアが拡散するのを防ぐため、可能であればWindows Management Instrumentation(WMI)を無効にしてください。

共通の推奨事項:

  • データのバックアップを取りましょう。
  • 身代金は支払わないでください。