Hafnium Microsoft Exchange Hack: DearCry ランサムウェアはプロトタイプとして起動されましたか? ソフォスの専門家がランサムウェアを調査し、WannaCry との類似性を発見しました。
Microsoft Exchange の脆弱性が先週知られるようになって以来、この脆弱性を悪用するサイバー攻撃に焦点が当てられています。 とりわけ、ランサムウェア「DearCry」は、一見すると「WannaCry」と呼ばれる有名な前任者を連想させる不名誉な名前を付けています。 Sophos Labs がこの新しいマルウェアを詳しく調べたところ、これが未知のランサムウェアのプロトタイプである可能性を示す多くの兆候が見つかりました。
DearCry: ハイブリッド アプローチのランサムウェア
さまざまな DearCry サンプルを分析して最初に気付くのは、ランサムウェアがハイブリッド アプローチを採用しているように見えるということです。 SophosLabs がこのアプローチを使用していることがわかっている他のランサムウェアは WannaCry だけですが、これは自動的に拡散し、DearCry のように人間によって処理されることはありません。 ただし、類似点は驚くべきものです。まず、攻撃されたファイルの暗号化されたコピーを作成し (コピー暗号化)、元のファイルを上書きして回復を防ぎます (インプレース暗号化)。 コピー暗号化では被害者が一部のデータを回復できる可能性がありますが、インプレース暗号化では回復ツールを使用してデータを回復できないようにします。 たとえば、Ryuk、REvil、BitPaymer、Maze、Clop などの悪名高い人間が実行するランサムウェアは、直接暗号化のみを使用します。
DearCry と WannaCry の比較
名前や暗号化されたファイルに追加されるヘッダーなど、DearCry と WannaCry の間には他にも多くの類似点があります。 ただし、これらのメモは WannaCry 開発者とのつながりを自動的に暗示するものではなく、DearCry の機能は WannaCry とは大きく異なります。 新しいランサムウェアは、コマンド アンド コントロール サーバーを使用せず、RSA 暗号化キーが組み込まれており、タイマー付きのユーザー インターフェイスを表示せず、最も重要なこととして、ネットワーク上の他のコンピューターに拡散しません。
ソフォスのエンジニアリング テクノロジー オフィスのディレクターである Mark Loman は、次のように述べています。 「攻撃されたファイルの種類のリストも、被害者から被害者へと進化しています。 私たちの分析では、コードには、圧縮ファイルや難読化技術など、ランサムウェアに通常期待されるような検出防止機能が含まれていないことも示されています。 これらの兆候やその他の兆候は、DearCry が現在の Microsoft Exchange Server の脆弱性を悪用するために予定より早く展開されたプロトタイプである可能性があることを示唆しています。」
Exchange パッチをできるだけ早くインストールする
繰り返しになりますが、企業は、Exchange Server の犯罪者による悪用を防ぐために、最新の Microsoft パッチをできるだけ早くインストールする必要があることを指摘する必要があります。 これが不可能な場合は、サーバーをインターネットから切断するか、Rapid Response Team によって綿密に監視する必要があります。 さらに、パッチをインストールした後、誰もが大丈夫というわけではありませんが、フォレンジック調査では、マルウェアがまだギャップを介してシステムに侵入しておらず、展開されるのを待っていることを確認する必要があります。
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。