2017/10/25

「Bad Rabbit」ランサムウェア – デイリーセキュリティバイト

身代金 札束 ランサム ランサムウェア ドル 札
2017 年 10 月 25 日 Corey Nachreiner 著

次々登場するランサムウェアに、多くの方がうんざりしているのではないでしょうか。もちろん、私も例外ではありませんが、東欧を中心にした新たなランサムワームの拡散が火曜日に始まったことがわかりました。

Bad Rabbit と呼ばれるこの新しいランサムウェアの亜種の主な標的はロシアとウクライナの企業ですが、数は少ないものの、それ以外のいくつかの国にも拡散していることが確認されています。「Flash」アップデートを提供しているとされる、乗っ取られた(あるいは不正の)Web サイトにアクセスすることで、このランサムウェアに感染するようです。もちろん、このアップデートは単なる罠であり、実際にはこの新しいランサムウェアサンプルがインストールされます。私はこれもランサムワームの一種であると考えていますが、それは、WannaCry と同様に、ローカルネットワーク経由で自動拡散する特性があるためです。しかしながら、WannaCry とは異なり、NSA から流出した SMB の脆弱性を悪用するのではなく、ハードコーディングされたパスワードあるいは不正取得したパスワードを使って他のネットワークコンピュータに接続しようとします。YouTube のデイリーセキュリティバイトのビデオで、この Bad Rabbit の詳細と、感染の有無を確認する方法をご確認ください。

WatchGuard Firebox のユーザ向けの対策に関する概要説明:

  • APT Blocker をご利用いただいていれば、このランサムウェアがただちに捕捉され、ブロックされるものと考えられます
  • ウォッチガードの GAV 製品では、この(ゼロデイより短い)ゼロアワーは捕捉されませんでしたが (これを捕捉するのが APT Blocker です)、その日のうちに、これを捕捉するためにシグネチャが更新されました
  • ウォッチガードの TDR(Threat Detection and Response)製品では、Bad Rabbit のファイルが検知されます。また、HRP の更新も完了しているため、既知の亜種がコンピュータで実行されることはないものと考えられます

エピソードビデオの長さ: 3:52

YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=g9zTDRr8HRM

Corey Nachreiner, CISSP@SecAdept