火曜日に、Petyaランサムウェアファミリーへの感染を報告した世界中の何百もの企業や組織のなかには、ウクライナの電力販売業者(英語ページ)、世界最大のスナック企業(英語ページ)、さらにはチェルノブイリの放射線モニタリングシステム(英語ページ)が含まれていました。
最初の攻撃ベクタはまだ特定されていませんが、エフセキュアの分析で、このPetyaウイルス菌は、3月に初めてMicrosoftのパッチが公開されたEternalBlueエクスプロイトを悪用していること(英語ページ)がわかりました。このエクスプロイトは、過去最大のランサムウェア攻撃であったWannaCryのおかげで、2017年5月に一躍有名になりました。米国国家安全保障局により特定されたこのエクスプロイトは、ハッキンググループのShadowbrokersが今年初めに拡散させるまで、公になりませんでした。
エフセキュア研究所は、政府の監視ツールが漏洩して、犯罪者によって武器化されていることへの危険性について、長年にわたって警告(英語ページ)してきました。今やこの警告は、企業が今後数年間にわたり戦わざるを得ない現実となっています。
WannaCryは犯罪者にとって有効なビジネスモデルであることが示されました。 ネットワークを介してワームのように拡散するランサムウェアは、組織の大量データを人質にし、救済の代償としてBitcoinの形式で現金を要求します。しかし実際には、休暇中(英語ページ)だったマルウェア研究者がキルスイッチを起動したので、WannaCryの被害は、迅速に最小限に抑えられました。WannaCryはキルスイッチの起動を許す、ずさんなコーディングがされていたのです。
これに対して、Petyaは同様の手法を採用しているものの、はるかに専門的な試みをしているようです。
エフセキュアのセキュリティアドバイザーであるSean Sullivan(英語ページ)は次のように述べています。「野球でいうと、WannaCryは大リーグのようです。アマチュアは多くの人々を感染させただけでした。 今回、彼らは現金を欲しがっているのです。」
他のランサムウェアとは異なり、Petyaには「邪悪なひねり」(英語ページ)が含まれています。ハードドライブの一部を暗号化してWindowsにアクセスできないようにしているのです。 そのファミリーは1年以上存在していますが、これまではネットワークエクスプロイトを使用していませんでした。
火曜日の午後の時点で、Petyaが支払いを要求しているBitcoinウォレットには、既に6,000ドル以上が集められています。
幸いなことに、エフセキュア製品が新しいPetyaの亜種を防御します
エフセキュアのエンドポイント製品は、すべての脅威例を防ぎます。当社の脆弱性管理製品は、修復のために、システム内で悪用された脆弱性にフラグを立てます。最終的に、エフセキュア マネージドインシデント対応サービスが攻撃を検出し、脅威への即時対応を可能にします。
エフセキュアのエンドポイント製品は、複数のレイヤ上でPetyaランサムウェアを防御し、攻撃チェーンが進行中の複数のポイントで攻撃を中止できるようにします。
・ エフセキュアの統合パッチ管理機能であるソフトウェアアップデーターは、関連するセキュリティパッチを自動的に適用することにより、新しいPetya ランサムウェアの亜種による攻撃がEnternalBlue脆弱性を悪用するのを防ぎます。
- エフセキュアのセキュリティクラウド機能は、ランサムウェアによって使用されるDLLファイルを検出してブロックします。
- エフセキュアのアンチマルウェアエンジンは、複数の補完的なシグネチャ検出を使用して脅威を検出しブロックします。
- エフセキュアのデフォルトのファイアウォール設定により、Petyaの攻撃が環境内で侵入拡大しファイルが暗号化されるのを防ぎます。
エフセキュアの脆弱性マネージャであるF-Secure Radarは、Microsoftの未適用セキュリティパッチと脆弱な445ポートに、IT管理者向けの即時対応フラグを立て、感染前に脆弱性を修正するのに十分な時間を提供します。
エフセキュアのマネージドインシデント対応サービスであるF-Secure Rapid Detection Service(英語ページ)は、Rundll-32や他のマイクロソフトコンポーネントを濫用するなど、Petyaが悪用している多数のTTP技術を検出するので、感染が検出された場合に、お客様が即時に修復作業をすることができます。
あなたは何をすべきでしょうか?
エフセキュアのエンドポイント製品は、デフォルト設定でPetya攻撃をブロックします。しかし、すべてのセキュリティ機能が有効になっていることを確認することをお勧めします。また、悪用された脆弱性を修復し、お客様の環境に攻撃が広がらないようにする必要があります。
- すべての社内エンドポイントでDeepGuardとリアルタイム保護が有効になっていることを確認します。
- エフセキュアのリアルタイム保護ネットワークがオンになっていることを確認します。
- エフセキュアのセキュリティプログラムが最新のデータベースアップデートを使用していることを確認します。
- ソフトウェアアップデーターまたは他の利用可能なツールを使用して、Microsoftから発行されたパッチ(4013389)が適用されていないエンドポイントを特定し、直ちにパッチを適用します。
o MS17010をWindows Vista以降に適用します(Windows Server 2008以降)
o MicrosoftのパッチをWindows XPまたはWindow Server 2003に適用します。
oすぐにパッチを適用できない場合は、攻撃の可能性を減らすために、Microsoftサポート技術情報2696547で説明されている手順でSMBv1を無効にすることをお勧めします - エフセキュアのファイアウォールがデフォルト設定でオンになっていることを確認します。また、ファイアウォールを設定して、組織内の445インバウンドとアウトバウンドトラフィックを適切にブロックし、環境内での拡散を防ぐこともできます。
感染した場合はどうしたらよいでしょうか?
- 内部の共有ファイルネットワーク上のすべてのユーザに対して、すべてのファイルアクセス許可を、読み取り専用アクセスに変更します。または、読み取り専用アクセスを設定できない場合、可能な限り、すべての主要なファイル共有ドライブ、NAS、SANなどを切断して、潜在的な感染を制限します。
- システムの健全性監視インフラストラクチャをチェックして、ドライブを読み書きするためのディスクドライブアクティビティで、どのIT資産が暴走したかを確認します。
システムを管理する第三者に電話をかけ、緊急パッチが入手できる可能性があることを伝えます。また、パッチ適用後に必要とされるテストに対する即時のサービスをスケジュールする必要があるかもしれません。
カテゴリ