世界的なランサムウェア攻撃はまだ終わっていない可能性があります。
WannaCrypt 亜種の新しいランサムウェア サンプルが実際に発見されましたが、それらが最初のランサムウェア攻撃波と同じ脅威をもたらすかどうかはまだ明らかになっていません。
金曜日に、 イングランド全土に少なくとも 47 の信託、スコットランドに 13 の国民保健サービス (NHS) サービス ITサービスとして深刻な混乱に直面した ロックダウンに入った Wanna Decryptor ランサムウェア (WannaCrypt、WanaCrypt0r、WannaCry とも呼ばれる) が原因です。
予約はキャンセルされ、一般の人々は絶対に必要な場合を除いてNHSの事故・救急部門を訪問しないよう促され、場合によっては、 スタッフが紙とペンを使って症状を維持することを余儀なくされたため、患者は断られたり、他の医療施設に移送されたりしたと伝えられている。 注文。
ITシステムプロバイダーのNHSデジタルは声明で、今回の攻撃は「特にNHSを狙ったものではなく、幅広い分野の組織に影響を与えている」と述べ、その言葉はすぐに現実になった。
以下も参照してください。 ランサムウェア攻撃: WannaCrypt の蔓延の余波で病院は依然として苦戦中
英国全土でのランサムウェア攻撃の報告を受けて、研究者らはすぐに、数千件の攻撃で同じマルウェアが使用されている事例を発見しました。 150か国で 最終的には英国、ロシア、スペインも含まれる。 このランサムウェアにより少なくとも 200,000 人の被害者が出たと考えられています。
研究者 警告した 金曜日に第一波が襲来し、さらに新たな亜種が出現したため、さらに多くの攻撃が起こる可能性がある 野生に現れている これにより、ランサムウェアとの戦いがさらに複雑になる可能性があります。
WannaCrypt は、ランサムウェアが一般的に動作する典型的な方法で、フィッシング キャンペーン、悪意のある電子メール、マルウェアを含む添付ファイルを通じて脆弱なシステムに感染します。
しかし、一度感染が成功すると、ランサムウェアはハードドライブを含め、手に入るものすべてを暗号化します。 および外部ストレージ デバイス -- スキャンを実行して、セキュリティから保護されていない新しいシステムを見つけてそこに移動する前に、 マルウェア。
セキュリティ会社 Recorded Future によると、WannaCry は 3 月 31 日に初めて出現しましたが、現在攻撃に登場しているバージョンは次のように変更されています。 パッチが適用されていないネットワーク システムを介してマルウェアが拡散することを可能にする「ワームのような」機能が組み込まれているためです。 NetBIOS。
このランサムウェアは、Microsoft Windows Server メッセージ ブロック (SMB) の既知の脆弱性である EternalBlue (MS17-010)、これは Windows SMBv1 および SMBv2 のバグです。
伝えられるところによると、このセキュリティ上の欠陥は、 シャドウ ブローカー NSA キャッシュ.
さらに、 マカフィーの研究者が指摘、マルウェアはローカル ネットワークに限定されないランダムな IP アドレスを生成し、これにより、 サイトが外部からの NetBIOS パケットを許可している場合、WannaCry は Web を通じて拡散する可能性もあります ネットワーク。
「これが、今回のアウトブレイクで見られた広範囲にわたる感染の理由の1つであり、多くの人がマルウェアの最初の感染経路について確信を持っていない理由の1つである可能性があります」とマカフィー氏は言う。
Twitter ハンドルを使用する英国のセキュリティ研究者 マルウェアテック ランサムウェアのコード内で発見されたドメイン名を登録することで、週末にかけてランサムウェアの拡散を誤って遅らせました。
説明どおり 研究者のブログ投稿で、ドメイン名を含めることは「キルスイッチ」として機能するというよりも、おそらく「よく考えられていない分析対策」だった可能性があります。
「彼らは、特定のサンドボックス環境に登録されているように見える、意図的に未登録のドメインをクエリしようとしていたと思います。 ドメインが応答しているのを確認すると、自分がサンドボックス内にいることがわかり、マルウェアはそれ以上の分析を防ぐために終了します」と研究者は述べています。
問題のドメインを登録することで、MalwareTech はシンクホールを作成し、ランサムウェアの SMB モジュールを騙すことができました。 ドメインはサンドボックス環境にあると信じ込ませるため、サンプルに感染した新しいコンピュータが侵入するのを防ぎます。 身代金を支払った。
ただし、ランサムウェアは通常の手段でも拡散する可能性があり、オペレータがドメイン チェック コンポーネントの削除を選択した場合、シンクホールは効果がなくなります。
「注意すべき非常に重要な点の 1 つは、私たちの陥没穴はこのサンプルを止めるだけであり、彼らがサンプルを除去するのを止めるものは何もないということです。 ドメインをチェックして再試行する必要があるため、パッチが適用されていないシステムにはできるだけ早くパッチを適用することが非常に重要です。」 と言う。
日曜日に、 セキュリティ研究者のマシュー・スイシュ氏も明らかにした。 WannaCry の 2 つの新しい亜種の存在。
研究者によって発見された変異体の 1 つ ベンコウ、Suiche によってリバース エンジニアリングが行われ、コード内に隠された別のドメイン リンクが発見されました。 MalwareTech と同様に、Suiche はこの 2 番目のドメインをすぐに登録して、アドレスをシンクホールし、ネットワーク上の新たな感染が発生するのを防ぎました。
安全
- 安全性の高いリモート ワーカーの 8 つの習慣
- 携帯電話からスパイウェアを見つけて削除する方法
- 最高の VPN サービス: トップ 5 をどう比較しますか?
- データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか
2 つ目は、アーカイブが破損しているため、部分的にしか動作しません。 この亜種は、Kaspersky Labs のグローバル研究分析チームのディレクターである Costin Raiu によって次のように発見されました。 Virus Total のアップロード、ランサムウェア アーカイブが破損しているため、まだ拡散する可能性はありますが、完全には拡散していません 機能的。
この特定の株による感染の成功はまだ報告されていません。
「新たな攻撃の波をブロックするために今日新しいキルスイッチを登録したという事実(sinkhole.tech から、攻撃を受けているとの報告がありました)は、一時的な安心感にすぎません。 多くの企業や重要なインフラストラクチャが未だにサポート対象外のレガシー オペレーティング システムに依存しているという本当の問題は解決されていません」と研究者は述べています。 と言う。
このマルウェアは仮想通貨ビットコインで 300 ドルを要求し、身代金の要求は 3 日間支払われないと 2 倍になります。
ランサムウェアの影響を受ける個人、政府、企業にさらに圧力をかけるため、運営者は1週間以内に支払いがなければすべてのファイルを永久に削除すると脅迫した。 合計で、ユーザーは最大 10 個のファイルを無料で復号化できる場合があります。
以下も参照してください。 サイバー技術者諸君、「パッチとバックアップ」と独りよがりに叫んでもランサムウェアは直らない
ランサムウェアの拡散を伝播および制御している攻撃者のドメインのうち 2 つがシンクホールされ、 感染が広範囲に及んでいるにも関わらず、脅威アクターは皆さんが思っているほど多くの利益を上げていないようです。 考える。
3 つのビットコイン ウォレット アドレス (1,2,3) キャンペーンに関連する情報によると、この記事の執筆時点で約 25 BTC (約 44,000 ドルに相当) が攻撃者に支払われています。
欠陥は修正されました 今年初めにただし、サポートされていない古いシステムはリリースから除外されました。 Windows 10 のユーザーは影響を受けません。
攻撃の流れを食い止めようとして、Microsoft は異例の措置を講じました。 緊急パッチを発行しました Windows XP およびその他の古いバージョンの Windows では、特別なサポート契約がなければ正式にサポートされなくなりました。
ブログ投稿で, Microsoftは「この決定は、顧客のエコシステム全体を保護するという原則をしっかりと念頭に置き、この状況の評価に基づいて行われた」と述べた。
WannaCry スプレッドのライブ更新マップを表示できます ここ.