新たなランサムウェア「Bad Rabbit」

「Bad Rabbit」と呼ばれる新たなランサムウェアが、ロシアおよび東欧の多数の有名企業や主要交通機関を次々と攻撃しました。2017年10月24日に初めて検知されたBad Rabbitは、当初は、ロシアとウクライナで検出され、少数ではあるものの、一部の東欧諸国、トルコ、ドイツでも感染が確認されました。ところがその後、この攻撃が拡大し、現在は、韓国や米国を含む他の地域でも感染が報告されています。

ロシアにおいては、複数の報道機関で感染が確認されており、大手通信社のインターファックスのサイトも被害を受けました。また、ウクライナにおいては、オデッサ国際空港やキエフ地下鉄などの多数の公共交通機関の被害も明らかになっています。現段階では、この攻撃の犯人は特定されていません。

この脅威は最初に、感染したWebサイトや水飲み場型攻撃を使って、Flash Playerの不正コピーをユーザーにインストールさせます。そして、ユーザーが誘導されて.exeファイルを開くことで、ランサムウェアアプリケーションが起動します。このランサムウェアは起動後に、Windowsにキャッシュされたユーザー認証情報(ユーザー名とパスワード)を不正取得し、ユーザーファイルの暗号化を試みます。他の既知のランサムウェアとは異なり、このマルウェアが暗号化するファイルそのものやファイル名は変更されません。

このペイロードがPetyaの亜種である可能性もあり、実行開始後に、コンピュータやネットワーク共有のデータファイルを暗号化して、身代金要求書を表示します。そして、暗号化されたファイルを復号化するための身代金として、0.05ビットコイン(約275米ドル)を要求します。


図1:Bad Rabbitの身代金要求書

このマルウェアによってインストールされる可能性のあるファイルは、以下のとおりです。

  • %Windows%\cscc.dat : このファイルは、ReactOSによって開発され、本来はdcrypt.sysという名前のディスク暗号化ユーティリティです。
  • %Windows%\dispci.exe : このファイルは、W32/Diskcoder.D!tr.ransomとして検知されます。
  • %Windows%\infub.dat : このファイルは、W32/Diskcoder.D!tr.ransomとして検知されます。
  • %Desktop%\DECRYPT.lnk : dispci.exeのショートカットファイルです。
  • %RootDir%\Readme.txt : このテキストファイルに身代金要求書が含まれています。

このマルウェアが以下のWebDavコマンドを発行することも確認されています。

  • OPTIONS /admin$
  • PROPFIND /admin$

FortiGuard Labsでのテストで、このマルウェアが同一サブネット内のさまざまなIPの列挙を試行することも観察されました。このことから、このマルウェアが有効なWebサーバーである内部IPを検索しているものと考えられます。また、このペイロードは、ネットワークを水平移動して脆弱性が存在する他のデバイスを発見し、感染させようとしていました。

この攻撃が注目されている最大の理由は、昨年春に猛威を奮ったWannaCryやPetyaの攻撃といくつかの類似点があるためです(SMB [Server Message Block]の使用など)。ただし、これらのマルウェア感染とは異なり、Bad Rabbitは、Eternal BlueやDoublePulsarの脆弱性を標的にするものではありません。

現段階では、フォーティネットで検知されるこのマルウェアの拡散は最小限にとどまっていますが、ハニーポットや調査・研究用のセンサーノードが集中しているヨーロッパや北米へと感染の範囲が拡大すれば、この状況が変化する可能性があります。このマルウェアに関する新たな情報が明らかになった段階で、最新情報を詳細分析と共に引き続きお知らせする予定です。

対策

フォーティネットのウイルス対策/マルウェアエンジンは、この既知のマルウェアのすべてのバージョンをW32/Diskcoder.D!tr.ransomシグネチャで検知します。さらには、フォーティネットのWebフィルタリングとDNSエンジンは、既知のC&C(コマンド&コントロール)サーバーをブロックします。

IOC(Indicator of Compromise:侵害指標)

%Windows%\cscc.dat ドロッパー
%Windows%\dispci.exe ドロッパー
%Windows%\infub.da ドロッパー
%Desktop%\DECRYPT.lnk dispci.exeのショートカット
1dnsconrol[.].com C&Cサーバー(未確定)