BadRabbit: New strain of ransomware hits Russia and Ukraine(同社公式ブログより)

既報の通り、新たなランサムウェア「BadRabbit (Ransom.BadRabbit)」が急速に感染範囲を広げている。現在活動が活発なのはロシアだが、同ランサムウェアは自己繁殖型であり、企業ネットワークに拡散できるため、企業は十分に気をつけるべきだとSymantecは同社公式ブログで初期段階の分析を発表、警鐘を鳴らしている。

協定世界時(UTC)10月24日の午前10時に拡散を始めたBadRabbitは、Symantecのテレメトリシステムでは登場から2時間の感染活動はロシア中心だ。初期の感染方法は、感染したWebサイト上でユーザーが気がつかないうちにダウンロードするドライブバイダウンロードで「Adobe Flash Player」のアップデートと見せかけ、1dnscontrol[dot]comというドメインからマルウェアのダウンロードが行われる。マルウェアに感染した別のWebサイトからリダイレクトされている可能性もあるとしている。

初期段階でのBadRabbitの国別感染試行(以下同社公式ブログより)

初期段階でのBadRabbitの企業/コンシューマの比率

被害者のコンピューターに自身をインストールすると、SMB(Server Message Block)を経由してネットワーク全体に広げようとする。必要なログイン情報を取得するため、BadRabbitは特権を変更したりWindowsのパスワードをプレインテキストで復旧できるハッキングツールのMimikatz (Hacktool.Mimikatz) の特定バージョンやパスワード推測リストをハードコーディングしたものも使う。さらに、EternalRomance脆弱性を悪用して脆弱なコンピューターに拡散する。ロシア以外の国でも、小規模ではあるが感染活動が検出されており、公式ブログでは初期段階におけるBadRabbitの感染試行を国別のグラフで示している。86%のロシアのほか、日本3%、ブルガリア2%、ウクライナ1%、米国1%、そのほかの国が7%。初期段階の分析では日本への感染試行が他国より高いことを示しているため、警戒しておく必要がある。また、コンシューマ16%に対し、企業(Enterprise)の比率が84%と高いのも特徴的だ。

また、Symantecでは、2017年6月に発生したPetya(Ransom.Petya)と多数の類似性を指摘している。共に同じような身代金要求メッセージ、自己繁殖型のメカニズム。コンピューターの軌道に必要なマスターブートレコード(MBR)を狙うコンポーネントが含まれており、既存のMBRの書き換えを図る。異なる点として、Petyaは古典的なSMBネットワークによる拡散手法に加え、EternalBlueと関連するEternalRomanceエクスプロイトを使って拡散する一方で、BadRabbitはEternalBlueは使わず、SMBに加えてEternalRomanceのみを使う。また、Petyaはランサムウェアというよりもワイパー(ランサムウェアと異なり復旧可能性がない破壊を行う)であるため、解読キーの取得は不可能だが、BadRabbitを分析したところ、BadRabbitはワイパーではないため、解読キーがわかれば暗号化されたデータは復旧できるとしている。

ほかBadRabbitの特徴的な点として、3種類のサードパーティのオープンソースツールを使っていることが挙げている。先のMimikatzに加え、オープンソースの暗号化ツールDiskCryptorを使った暗号化、オープンソースのWindows代替であるReactOSのドライバーの使用。これにより、感染したコンピューター上の疑わしい活動の検出を難しくしているという。暗号化では、インストールすると、BadRabbitは以下の拡張子を持つファイルを検索して全てに暗号化をかけるという。

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

多くのランサムウェアの感染とは異なり、暗号化されたファイルには特別な拡張子は付かない代わりに、処理したかどうかを確認するために、暗号化したファイルの終わりに特別なマーカーを加える。個々のファイルが暗号化されると、BadRabbitはディスクそのもの暗号化を行い、システムが再起動すると、解読に0.05ビットコイン(約280ドル)の身代金を要求するメッセージが表示される。

BadRabbitのメッセージ画面

Symantecでは、同社顧客はBadRabbitの活動から保護されるが、ネットワーク上の他のコンピューターに自身を複製しようとするためそれでも企業は充分に注意すること、ランサムウェア対策のための準備を行うよう呼びかけている。