セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

新たな暗号化ランサムウェア「Bad Rabbit」

新たな暗号化ランサムウェア「Bad Rabbit」の活動がロシア・東欧を中心に確認されています。ウクライナでは鉄道や空港で業務が麻痺するなどの被害が出ています。
JPCERTコーディネーションセンターからは日本国内での感染拡大への注意喚起が出されました。
新たなランサムウェア「Bad Rabbit」について – JPECERT CC CyverNewsFlash

Bad Rabbitの特徴

Bad Rabbitの攻撃手法は水飲み場型攻撃です。ロシアの有名なニュースサイトなどで、偽装したAdobe Flash Playerのインストーラーのダウンロードを促します。それをダウンロードし、実行することで感染します。
感染するといくつかのタスクが実行され、システムを再起動して暗号化プロセスを開始します。(実行されるタスクの詳細は参考記事をご覧ください。)
暗号化にはオープンソースのDiskCryptorが使われます。暗号化が終わると、0.05BTC(約3万円)を要求するメッセージが表示されます。
仮に支払いを行ってもデータを取り戻せる保証はありません。

※水飲み場型攻撃・・・ユーザーがよく利用するWebサイトを改竄して、マルウェアをダウンロードさせるなどの攻撃を仕掛ける手法。

Bad RabbitはPetyaやNotPetyaランサムウェアとほぼ同じロック画面を表示しますが、コード全体としては別物です。
また、SMB経由で感染を拡大させるために攻撃ツール「Mimikatz」を使っています。
(WannaCryとは異なり、「EternalBlue」は使っていません。)

– Petya・WannaCryに関する過去記事

新種のPetyaランサムウェアはMBR、MFTを上書きし、利用者がPCを使えなくされます。

Petya&Mischa RaaS(身代金ウイルスのクラウドサービス)の提供が始まろうとしています。

RaaS , Petya & Mischa開発元 対 Chimera開発元

また、帰ってきたランサムウェアPetya

WannaCryランサムウェアのCheck Point 対応状況

WannaCryランサムウェア感染とロールバック(回復)

Check Point社製品対応状況

Check Point社の下記機能でBad Rabbitを防ぐことができます。
・SandBlast Threat Emulation
・SandBlast Anti-Ransomware
・Check Point Antivirus
また、Check Point IPSブレードはBad Rabbitの感染拡大を防ぐことができます。
img_cp700_01

参考記事

Bad Rabbit – A New Ransomware Outbreak Targeting Ukraine and Russia. – Check Point Blog
Bad Rabbit: The Full Research Investigation – Check Point Research

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る