最近,Bad Rabbitと呼ばれる新たなランサムウェアの報告がマスコミを賑わせた. NotPetyaの亜種と疑われるBad Rabbitは,ヨーロッパなどのITネットワークを通じて瞬く間に拡散した.
我々の調査によると,Bad Rabbit感染は10月下旬に報告され始めたが,攻撃の背後にあるグループは7月に「感染ネットワーク」の作成を開始した.産業用システムへの影響は報告されていませんが,産業用オペレーターはこの攻撃と,それがサイバー回復力プログラムにとってどのような意味を持つかに注意する必要があります.
従業員がトロイの木馬Adobe Flashインストーラーをクリックしたことから始まるBad Rabbit感染
このウイルスはAdobe Flashのインストーラーに偽装されており,ユーザーが正規のサイトと信じてアクセスすると,画面にポップアップ表示される.攻撃者が標的としているのはメディアやニュースサイトであり,訪問者の体験を向上させるために以前からFlashを採用していることから,アップデートのダウンロードを要求されてもすぐには疑いを抱かないかもしれない.ユーザーがリダイレクトに従うと,攻撃が始まり,ランサムウェアがダウンロードされる.
被害者がドロッパーを実行すると,すぐに管理者権限が必要となる:
- infpub.datという悪意のあるDLLが保存され,通常のユーティリティrundll32を使って実行される.
- infpub.datファイルは,マイクロソフトの認証プロトコルであるNTLMのログイン認証情報をブルートフォースしようとし,ディスク暗号化モジュールである有名なユーティリティDiskCryptorコードに由来すると思われる実行可能ファイルdispci.exeをダウンロードする.
- 最後にダウンロードされたファイルが実行されると,暗号化フェーズが開始され,以前のNotPetya攻撃ですでに見られたように,ブートローダーの置き換えが行われる.
しかし,Bad Rabbitは単一障害点からのランダムな拡散を引き起こさない.ちなみに,これはWannaCryのシナリオでキルスイッチとして使われたドメイン名が適用されないことを意味する.その代わり,このウイルスは,攻撃者がマルウェアを拡散させたかった州に関連すると思われるウェブサイトに影響を及ぼすようだ.
攻撃者が感染ネットワークの構築に費やした時間は,特に,グループの身元や出所について匿名性を保ちながら,特定の標的を狙った攻撃を実行することを計画していた場合,極めて重要である.
しかし,1つの救いは,Bad Rabbitが自動的にインストールされないことである.これは,攻撃者が悪意のあるコードを展開するために,ユーザーがマルウェアをクリックすることに依存していることを意味する.このことは,攻撃者側の準備不足,さらにはランサムウェア攻撃の仕組みに対する無知を示唆している.
とはいえ,サイバーセキュリティに関しては,従業員が直面する脅威や攻撃者が従業員を騙すために使う手口を認識していないことがあまりにも多いため,従業員が不注意に組織の弱点になる可能性があることを認識することが重要である.
Bad Rabbitが示すマルウェアの小さな亜種によるリスク
ランサムウェア攻撃による恐喝は,ハッカーにとって最も古い手口の1つであり,組織がさまざまな保護メカニズムを採用しているにもかかわらず,こうした攻撃は依然として成功している.
Bad Rabbitは,ベクター攻撃や配信方法などの小さな亜種で,以前のシナリオ(NotPetya,WannaCryなど)に匹敵する同様の効果が十分に得られるという例である.
複雑なエクスプロイトを開発する必要はなく,誰でも見つけることができるオープンソースのコードを組み合わせればよいのだから.
産業組織は,従業員が会社のシステムやデータの安全確保に果たす役割の大きさを理解し,オンライン上の何かが不審に思われた場合にそれを認識できるよう,従業員のトレーニングを開始することが極めて重要である.さらに,組織は,インフラ内で何か曖昧なことが起きているときに,それを即座に特定するのに役立つツールを必要としている.
産業制御上のマルウェアを迅速に検出するツールが存在するNetworks
当社のSCADAguardian製品のような,リアルタイムのマルウェア検出と対応のために人工知能と機械学習を適用するパッシブICS監視ツールを適用することは,Bad Rabbitのようなウイルスの影響を軽減する上で大いに役立ちます. これにより組織は,悪意のあるコードを迅速に発見し,被害が発生する前にそのリスクを取り除くことができます.
この記事は インフォセキュリティ誌.
