この記事は2020年3月3日に更新されました。
本日、ノルスク・ハイドロ社がサイバー攻撃を受け、複数の工場で手動モードに切り替えたか、アルミニウム生産を一時的に停止したことが報じられた。ノルウェー国家安全保障局とノルウェーの地元メディアは、この事件をLockerGogaと呼ばれるマルウェアによるランサムウェア攻撃と説明している。この攻撃により、同社のITシステムは停止状態に陥ったようだ。
この攻撃の重要性に鑑み、Nozomi Networks Labs は LockerGoga の予備評価を実施しました。このランサムウェアと当社リサーチチームの評価については、続きをお読みください。
ランサムウェア攻撃、アルミニウム生産に影響
メディアの報道によると、マルウェア攻撃はオスロ時間(UTC + 1)の2019年3月18日(月)の夜に始まった。2019年3月19日、同社のウェブサイトは利用できず、生産への影響が報告された:
- アルミ溶湯を監視するポットラインは、24時間稼働させる必要があるが、手動モードに切り替えられていた
- 生産停止を余儀なくされた工場もある
- いくつかの金属押出工場が閉鎖された
- 一部の施設では、コンピュータ・システムが利用できないため、印刷された注文に対応している。
- 発電所は正常に機能している
- 安全性に関する事故は報告されていない
2019年3月22日更新:LockerGogaランサムウェアとは?
Nozomi Networks LabsはLockerGogaサンプルをSHA256で予備分析した:
6e69548b1ae61d951452b65db15716a5ee2f9373be05011e897c61118c239a77
このランサムウェアは、以下の特定の拡張子を持つファイルを暗号化することができます:
doc, dot, wbk, docx, dotx, docb, xlm, xlsx, xltx, xlsb, xlw, ppt, pot, pps, pptx, potx, ppsx, sldx, pdf
また、LockerGogaサンプルの最新バージョンをSHA256で分析しました:
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
このバージョンは Norsk Hydro を標的としたものと思われます。これらの拡張子を持つファイルを暗号化します:
.doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py
拡張子の種類から、脅威行為者の主な目的は、ユーザーにとって重要なデータを含むファイルを暗号化することであることがわかる。実際、暗号化フレーズの最後には、README_LOCKED.txtというファイルがファイルシステム内にドロップされ、以下のメッセージが含まれている:
ご挨拶!御社のセキュリティシステムに重大な欠陥がありました。この欠陥が、一部の新人ではなく、真面目な人々によって悪用されたことに感謝すべきです。Photorec、RannohDecryptorなどのサードパーティのソフトウェアでデータを復元しようとすると、データの不可逆的な破壊につながります。私たちの誠実な意図を確認するには、2-3種類のランダムなファイルを送ってください。私たちが無料でロックを解除するサンプルファイル(ファイルはいかなる種類のバックアップにも関連してはいけません)。私たちはあなたの状況に応じた復号化ソフトウェアを持っています。お支払いはビットコインでお願いします。最終的な価格は、ご連絡の早さによって異なります。お支払いを確認次第、復号化ツールと、システムのセキュリティを向上させる方法についてのインストラクションをお渡しします。デコーダーの価格については、at:DharmaParrack@protonmail.comwyattpettigrew8922555@mail.com までお問い合わせください。
LockerGogaマルウェアは多くの種類のファイルを暗号化し、README_LOCKED.テキストファイルで身代金の要求を提示する。
このメモはランサムウェアの最新バージョンによるもので、Norsk Hydroを標的としたバージョンである可能性が高い。
このメッセージには、ファイルを取り戻すためには、暗号通貨ビットコインを使った身代金の支払いを余儀なくされると書かれている。
LockerGoga はどのように機能するのですか?
このマルウェアは標的の拡張子を持つファイルを暗号化し、ファイルを取り戻すために必要な手順をユーザーに知らせるランサムノートをファイルシステムにドロップします。これは、ほとんどのランサムウェア・マルウェアが使用する古典的なアプローチです。
このマルウェアには他のターゲットに拡散する機能はないが、セキュリティ・アナリストによる検出を回避するために、いくつかのアンチ解析テクニックを使用しているようだ。例えば、仮想マシンの存在を検出し、サンプル収集を回避するためにファイルシステムから自身を削除する機能があるようです。
脅威行為者は、マルウェアのコードにカスタム機能や複雑な機能(C&C、DNSビーコンなど)を追加していないため、このマルウェアが意図している影響は、スパイ活動ではなく、混乱であると推測できる。
一部の研究者は、攻撃者がマルウェアを拡散するメカニズムとしてActive Directoryを使用した可能性を示唆している。考えられるシナリオ(NorCERTが確認):
- 脅威者は、標的組織のドメイン管理者グループに登録されたシステムに感染することができた。
- 悪意のある実行ファイルはNetlogonディレクトリに置かれ、すべてのドメインコントローラーに自動的に伝播されるようになっていた。
- 多くのファイアウォールはデフォルトでActive Directoryの情報を受け入れる
2019年3月20日更新:複数のLockerGogaサンプル
Nozomi Networks Labsチームはこの24時間で、4つの異なる LockerGoga サンプルを入手した。複数のサンプルは、このランサムウェアが活発に開発されていることを示す指標です。
サンプルを分析するとこうなる:
- 実行後、マルウェアは悪意のある活動を隠すために自身を%TEMP%ディレクトリに移動する。
- サンプルは難読化されておらず、解析防止技術も実装されていない。
- 身代金要求書を含むファイルはデスクトップ フォルダに保存され、サンプルによってファイル名が異なります。マルウェアのサンプルごとに異なるハードコード化されたファイル名を使用することは、システム内部に作成されたファイル名のチェックに依存するセキュリティソリューションを回避しようとする試みである:観測されたファイル名には、READ-ME-NOW.txt、README-NOW.txt、README_LOCKED.txtなどがあります。このマルウェアの他のバリエーションで使用されているファイル名が野放しになっている可能性は高い。
- 暗号化するファイルを決定するために使用される拡張子は、サンプルの異なるバージョン間でわずかに異なります。場合によっては、このマルウェアは.exeファイルや.dllファイルも暗号化することが確認されています。これにより、Windowsコアファイルも暗号化されるため、被害者のシステムへの影響が増大します。
- すべてのサンプルは、外部のサーバーに接続することなく、独立して実行される。
これらの点から、LockerGogaは典型的なランサムウェアであることがわかる。ノルスク・ハイドロ社の生産設備の一部が影響を受けているにもかかわらず、ICS固有のデバイスやプロトコルを標的とした機能はない。
LockerGoga に感染しているかどうかを知るには?どうやって駆除するのですか?
対象となるファイルが暗号化され、ファイル名の末尾に拡張子「.locked」が付加されるため、感染を特定することができます。
現在、LockerGoga をシステムから削除する唯一の方法は、バックアップから復元することです。
Nozomi Networks をご利用のお客様へ Threat Intelligenceが更新され、LockerGoga マルウェアを検出する機能が追加されました。
ノルスク・ハイドロ社、インシデントレスポンスの一環として革新的な通信アウトリーチを活用
サイバー攻撃を受けていることを長期間明らかにしなかった多くの企業とは異なり、ノルスク・ハイドロ社はまったく異なるアプローチをとった。彼らはすぐに攻撃に関するライブストリーミング・ブリーフィングを作成し、フェイスブックのチャンネルで定期的に最新情報を提供している。
産業システムに対する攻撃は現実であり、空想ではない
ノルスク・ハイドロ社への攻撃は、産業部門を襲った最新のものに過ぎず、大きな財務的影響をもたらす可能性がある。他の例としては、以下が挙げられる:
- 2012年、サウジアラムコはマルウェア攻撃を受け、復旧作業に約10億ドルを費やし、被害を受けた3万5000台のコンピューターを交換する必要があった。
- ホワイトハウスによると、2017年、NotPetya攻撃は世界中のサプライチェーン企業に100億ドルの損害をもたらした。例えば、製薬会社メルクの被害額は8億7000万ドルに上った。
お使いのシステムがLockerGogaの影響を受ける可能性を最小限に抑えるために、以下をお勧めします:
- システムに最新のバックアップがあることの確認
- フィッシングメールの見分け方や、フィッシングメールを受け取ったと思った場合の対処方法について従業員とコミュニケーションを図る。
- マルウェア、侵害の兆候、動作の異常を迅速に特定するソリューションでシステムを監視します。
LockerGogaのさらなるアップデートにご期待ください。以下のリンクからNozomi Networks Labs のお知らせにご登録いただくと、この件やその他の重要なNozomi Networks Labs の研究に関する最新情報を確実に受け取ることができます。
