Bad Rabbit: A new ransomware epidemic is on the rise

BY admin
|

The post is updated as our experts find new details on malware.

WannaCry と ExPetr (Petya と NotPetya としても知られている) という悪名高いランサムウェアの大規模攻撃がすでに2件発生しています。 しかし、3つ目の攻撃が増加しているようです。 新しいマルウェアは Bad Rabbit と呼ばれ、少なくとも、身代金要求のメモにリンクされているダークネット Web サイトが示す名前です。

現時点でわかっていることは、Bad Rabbit ランサムウェアがロシアの複数の大手メディアに感染し、マルウェアの被害者として Interfax 通信社と Fontanka.ru が確認されていることです。 オデッサ国際空港は、情報システムへのサイバー攻撃について報告していますが、それが同じ攻撃であるかどうかはまだ明らかではありません。

Bad Rabbit 攻撃の背後にいる犯罪者は、身代金として 0.05 ビットコインを要求していますが、これは現在の為替レートでおよそ 280 ドルに相当します。 被害者は、感染したウェブサイトから偽の Adobe Flash インストーラーをダウンロードし、手動で .exe ファイルを起動することで、自分自身を感染させます。 私たちの研究者は、多数の感染した Web サイトを検出しましたが、すべてニュースまたはメディア サイトでした。

私たちのデータによると、これらの攻撃の犠牲者の多くはロシアにいます。 また、ウクライナ、トルコ、およびドイツでも、同様の、より少ない数の攻撃が確認されています。 このランサムウェアは、ハッキングされた多くのロシアのメディア ウェブサイトを通じてデバイスに感染しています。 我々の調査によると、これは企業ネットワークに対する標的型攻撃であり、ExPetr攻撃で使用されたものと同様の方法を使用しています。

私たちの専門家は、Bad Rabbit攻撃と今年6月に起こったExPetr攻撃とを関連付けるのに十分な証拠を集めました。 彼らの分析によると、Bad Rabbit で使用されたコードの一部は、ExPetr で以前に発見されていました。

その他の類似点としては、ドライブバイ攻撃に使用されたドメインのリストが同じであること (これらのドメインのいくつかは、6 月にハッキングされたが使用されていなかった) や、企業ネットワーク全体にマルウェアを拡散するために使用される手法が同じであること (両方の攻撃でその目的に Windows Management Instrumentation Command-line (WMIC) が使用されていた) が挙げられます。 しかし、異なる点があります。 ExPetrとは異なり、Bad Rabbitは、感染にEternalBlueエクスプロイトを使用していません。 しかし、ローカルネットワーク上で横方向に移動するためにEternalRomanceエクスプロイトを使用します。

当社の専門家は、両方の攻撃の背後に同じ脅威アクターがおり、この脅威アクターは2017年7月まで、あるいはそれ以前にBad Rabbitの攻撃を準備していたものと考えています。 ただし、ExPetrとは異なり、Bad Rabbitはワイパーではなく、単なるランサムウェアのようです。ある種のファイルを暗号化し、修正したブートローダーをインストールするため、PCが正常に起動できないようにします。 ワイパーではないので、背後にいる悪意ある人物は潜在的にパスワードを解読する能力を持っており、それは順番にファイルを解読し、コンピュータがオペレーティングシステムを起動するために必要です。

残念ながら、暗号化キーを知らずに暗号化されたファイルを取り戻す方法はない、と私たちの専門家は言います。 しかし、何らかの理由で Bad Rabbit がディスク全体を暗号化しなかった場合、シャドウ コピーからファイルを取り戻すことが可能です (感染前にシャドウ コピーが有効になっていた場合)。 引き続き調査を行います。 一方、技術的な詳細については、Securelist のこの投稿を参照してください。

Kaspersky Lab の製品は、次の評定でこの攻撃を検出します:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

Bad Rabbitの被害を受けないために:

Kaspersky Lab製品ユーザー:

  • System WatcherとKaspersky Security Networkが起動しているか確認することです。

その他のユーザー:

  • ファイル c:windowsinfpub.dat および c:Windowscscc.dat の実行をブロックする。
  • WMI サービスを無効にし (お使いの環境で可能な場合)、マルウェアがネットワーク上に広がるのを防ぎます。

皆さんへのアドバイス:

  • データをバックアップする。
  • ランサムを払わない。