Bad Rabbit Ransomware

Bad Rabbitが最初に登場したのは2017年10月、ロシア、ウクライナ、米国の組織を対象に、基本的に新しく改良したNotPetyaランサムウェアである攻撃で、このランサムウェアは、「Bad Rabbit」です。 ウクライナ当局は、Bad Rabbitを、NotPetyaの背後にいるとも考えられている脅威グループ、Black Energyのものであるとみなしています。 多くのセキュリティ専門家は、Black Energyはロシア政府の利益と指示のもとで活動していると考えています。 5027>

攻撃は、ハッキングされたロシアのメディアウェブサイト上のファイルを介して、Adobe Flashインストーラのふりをする人気のソーシャルエンジニアリングのトリックを使用して開始されました。 このランサムウェアは、0.05 ビットコイン、または約 275 ドルの支払いを要求し、被害者には身代金が上がる前に支払うよう 40 時間の猶予を与えます。

bad-rabbit-ransomware-diskcoder

これは基本的に NotPetya v2.0 で、以前のバージョンから大幅に改善されています。 Bad Rabbit は、Petya/NotPetya のコードと重複する要素が多く、そのため、この攻撃の背後にいる作者は同じであると高い確実性で推測することができます。 5027>

今回のキャンペーンでは、暗号化されたデータは身代金を支払った後に復元可能なようで、このBadRabbitの攻撃はNotPetyaほど破壊的ではないことを意味しています。 彼らはファイルの暗号化プロセスにおける多くのバグを修正しました。

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbitはまずユーザーのコンピュータ上のファイルを暗号化し、その後MBR(マスターブートレコード)を置き換えます。 これは、ブートローダーのキーとファイル自体のキーの 2 つを購入する必要があることを意味します。 これは、基本的にマシンをレンガ化するものです。 また、「Bad Rabbit」については、エンドポイントソフトウェアでブロックできない場合に、マシンを予防接種する方法について、bleepingcomputer.comで詳しく説明しています。

  • WMI サービスを無効にし (お使いの環境で可能な場合)、マルウェアがネットワーク上に広がるのを防ぎます。
  • お急ぎの場合は、詳しい手順をご覧ください。

    最初の攻撃から約一週間後、Bad Rabbit がより陰湿なソーシャル エンジニアリング攻撃の偽装だったことが明らかになりました。 ウクライナの多くの企業をターゲットにしたフィッシングキャンペーンは、財務情報やその他の機密データを危険にさらすことを目的としていました。 捜査当局は、Bad Rabbitの実行犯と二次的なフィッシング・キャンペーンの実行犯は同じであり、ランサムウェア・キャンペーンの拡散が停止した後、十分に検知されないアクセスを得ることが二次攻撃の目的であると考えています。

    Obsidian Securityの共同創設者で最高技術責任者のBen Johnson氏は、「サイバー犯罪者がより賢くなり高度化している中で、攻撃が必ずしも表面上のものではないことを忘れないことが重要です」インターナショナル・ビジネス・タイムズに語っています。 NotPetyaもランサムウェアを隠れ蓑にして二次的な攻撃をしていましたが、それは偶然ではないのでしょう。

    あなたのネットワークはランサムウェア攻撃に脆弱ですか?

    KnowBe4のランサムウェアシミュレータ「RanSim」で今すぐ確認!数分で結果が出ます。

    Get RanSim!
    ” ランサムウェア知識ベース
    に戻る

    Leave a Reply