「WannaCry」同様、Windows SMB v1の脆弱性「MS17-010」を突いて感染を広げる新種のランサムウェアが27日以降、ウクライナを中心に世界各地に感染を拡大していることについて、米SANS ISC(Internet Storm Center)や、Bitdefender、Kaspersky、Symantec、Avastなどのセキュリティベンダー各社が注意を喚起している。
2016年に出現したランサムウェア「Petya」の新しい亜種となるもので、Bitdefenderでは「GoldenEye」と名付けている。Petyaは、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。
SymantecやKasperskyによれば、これまでのPetyaは標的型攻撃に悪用されていたが、今回のGoldenEyeは、MS17-010を悪用して、ネットワーク内PCへ感染を拡大するという。
このほか、Word/ワードパッドの脆弱性「CVE-2017-0199」を悪用し、メールの添付ファイルを開くと感染するとの一部情報もある。さらに、Telnetに代わるWindows用のリモートアクセスユーティリティ「PsExec」や、Windowsのコマンドラインツール「WMIC」を悪用する可能性も一部では指摘されている。
Bitdefenderによれば、チェルノブイリ原子力発電所の放射線モニタリングシステム、ウクライナの銀行、キエフの空港や地下鉄のほか、デンマーク、英国、ロシアにも感染が拡大しているという。
Petya自体に対してはすでに復号化ツールも存在しているが、GoldenEyeにより暗号化されたMBRとファイルの復号は現時点では不可能だ。Avast Softwareによれば、GoldenEyeに感染したPCの比率は、Windows 7が78%、Windows XPが14%、Windows 10が6%、Windows 8.1が2%となっている。
関連リンク シマンテック公式ブログの該当記事 Bitdefender Lab公式ブログの該当記事(英文) ESET公式ブログの該当記事(英文) SECURELIST公式ブログ(Kaspersky)の該当記事(英文) 米SANS ISCによる注意喚起
関連記事
被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供
2017年5月15日
Word/ワードパッドのゼロデイ脆弱性を悪用するメール80万通、セキュリティパッチの早期適用を
2017年4月13日
ランサムウェアやMiraiなど、セキュリティの最新動向をISPが解説
2016年11月30日
ランサムウェアに感染させる4種の日本語スパムメールの特徴まとめ、共通のサイバー犯罪者によるものか~トレンドマイクロ
2016年11月22日