米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月16日、「Destructive malware targeting Ukrainian organizations - Microsoft Security Blog」において、Microsoftがウクライナ政府機関を含むウクライナの組織を標的としたマルウェア攻撃について警告していると伝えた。

Microsoftによると、この攻撃に使われているマルウェアはランサムウェアのように見えるものの、身代金を要求するメカニズムを持たず、対象のデバイスのマスターブートレコード(MBR)と対象のファイルを破壊して動作不能にするように設計されているという。

この攻撃活動に関する詳細は、Microsoft Threat Intelligence Center(MSTIC)による次のレポートで公表されている。

  • Destructive malware targeting Ukrainian organizations

    Destructive malware targeting Ukrainian organizations

攻撃に使われたマルウェアは、対象のシステムの侵害に成功すると、MBRを身代金メモが書かれたファイルによって上書きする。この身代金メモには支払いのためのビットコインウォレットとTox IDが記載されているが、マルウェア自身は上書きされたMBRを復旧するメカニズムを備えていないため、この身代金メモはダミーである可能性が高いと指摘されている。

続いてマルウェアは、ファイル破損用の別のマルウェアをダウンロードして実行する。このファイル破損マルウェアはシステム上の特定のディレクトリで指定された拡張子のファイルを検索し、内容を上書きした上でファイル名をランダムな拡張子に変更する。このマルウェアの詳細については現在も分析中だという。

今回の攻撃活動は2022年1月13日に最初に観測されており、MSTICの調査チームではすでに数十のシステムでマルウェアを特定しているとのことだ。攻撃対象はウクライナに拠点を置く複数の政府機関や非営利組織、および情報技術組織にまたがっており、調査が進むにつれて影響を受けたシステムの数は増える可能性がある。

MSTICのレポートでは、この攻撃活動の影響を調べるための侵入の痕跡(IOC)や、推奨されるセキュリティアクションなどもまとめられている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)では、ネットワーク管理者に対し、このアクティビティに関連する戦術や主要、手順、およびIOCを確認し、潜在的なサイバー脅威に備えるよう呼びかけている。