10月14日、ウクライナ安全保障局は、notPetyaに類似した新たな大規模サイバー攻撃が10月13~17日の間に発生する可能性があると警告を発していました。

この攻撃が現実問題となったのは、予測から遅れること約1週間後の10月24日です。この日、警告されたとおりのランサムウェア攻撃がヨーロッパで発生しました。

主な標的となったウクライナでは、鉄道や空港などの交通機関、報道機関をはじめとする多くの重要インフラが影響を受け、システムが停止状態に追い込まれています。ウクライナのほかには、トルコ、ロシア、ブルガリアなどでも被害が発生しています。

影響を受けた組織には、ウクライナのキエフ地下鉄、オデッサ空港、社会基盤省、財務省や、ロシアの大手報道機関Interfax通信が含まれ、このほかには、金融、ヘルスケア、流通、ソフトウェア開発などの企業や組織が被害を受けています。

「Bad Rabbit」と名付けられたこのランサムウェアは、感染後、40時間以内にBitcoinで0.05 BTC(最大280ドル相当)を支払うように要求します。40時間経過後は、要求額が値上がりするものと見られますが、上限額はまだ確認されていません。

Bad Rabbitは、偽のFlashインストーラを装って感染を広げています。報告によると、ロシアの正規ニュース・サイトでポップアップ・ウィンドウが表示され、そこから攻撃サイトに誘導されて、ランサムウェアのドロッパー(実行可能ファイル)がダウンロードされるというケースがあるようです。

Bad Rabbitは、感染先のドライブを暗号化する際に、オープンソースのソフトウェアであるDiskCryptorを使用します。

ユーザに表示されるロック画面は、先ごろ広範囲に感染を広げたPetyaやNotPetyaとほぼ同じです。ただし、現時点で確認されている範囲では、Bad RabbitとPetya/NotPetyaが似ているのはこの画面だけで、Bad Rabbitの残りの部分は完全にオリジナルとなっています。

感染に成功したBad Rabbitは、感染先ごとに一意の鍵を作成します。この鍵は、Bad Rabbitによって作成されるREAD ME.txtファイルに記載されます。なお、このファイルには、Tor上にホストされた支払い用サイトのアドレスも記載されます。支払い用のサイトは、文字やその色が刻々と変化する派手なデザインとなっています。

Torの支払い用サイトに鍵を入力すると、一意のBitcoinウォレットが提供され、そのウォレットに0.05 BTCを入金するように要求されます。

WannaCryやPetyaのように、Bad Rabbitランサムウェア攻撃は事前に防御できた可能性があります。ランサムウェアや他のマルウェアは決して新しい攻撃ベクターではありません。ランサムウェア対策に参考となるレポートはこちらを参照ください。
Bad Rabbitのビデオはこちらをご覧ください。
また、次なるサイバー攻撃から防御するためのホワイトペーパーも参照ください。

次のチェック・ポイント製品は、このランサムウェアに対応しています。

技術的な概要

Bad Rabbitはまず、「rhaegal」という名称のスケジュール・タスクを削除します。

schtasks /Delete /F /TN rhaegal

続いて、まったく同じ名称のスケジュール・タスクを作成します。

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id %d && exit"

このタスクは、システムの起動後にペイロードを実行するという処理を行います。

Bad Rabbitはさらに、システムを再起動するスケジュール・タスク「drogon」を作成します。

schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "C:\Windows\system32\shutdown.exe /r /t 0 /f" /ST hh:mm:ss

これにより、コンピュータの再起動後に暗号化プロセスが開始されます。

Bad Rabbitは、マスター・ブート・レコード(MBR)およびファイルの暗号化と復号化の両方を実行できます。

Bad Rabbitは、次の拡張子のファイルを暗号化します。

 

  • .3ds
  • .7z
  • .accdb
  • .ai
  • .asm
  • .asp
  • .aspx
  • .avhd
  • .back
  • .bak
  • .bmp
  • .brw
  • .c
  • .cab
  • .cc
  • .cer
  • .cfg
  • .conf
  • .cpp
  • .crt
  • .cs
  • .ctl
  • .cxx
  • .dbf
  • .der
  • .dib
  • .disk
  • .djvu
  • .doc
  • .docx
  • .dwg
  • .eml
  • .fdb
  • .gz
  • .h
  • .hdd
  • .hpp
  • .hxx
  • .iso
  • .java
  • .jfif
  • .jpe
  • .jpeg
  • .jpg
  • .js
  • .kdbx
  • .key
  • .mail
  • .mdb
  • .msg
  • .nrg
  • .odc
  • .odf
  • .odg
  • .odi
  • .odm
  • .odp
  • .ods
  • .odt
  • .ora
  • .ost
  • .ova
  • .ovf
  • .p12
  • .p7b
  • .p7c
  • .pdf
  • .pem
  • .pfx
  • .php
  • .pmf
  • .png
  • .ppt
  • .pptx
  • .ps1
  • .pst
  • .pvi
  • .py
  • .pyc
  • .pyw
  • .qcow
  • .qcow2
  • .rar
  • .rb
  • .rtf
  • .scm
  • .sln
  • .sql
  • .tar
  • .tib
  • .tif
  • .tiff
  • .vb
  • .vbox
  • .vbs
  • .vcb
  • .vdi
  • .vfd
  • .vhd
  • .vhdx
  • .vmc
  • .vmdk
  • .vmsd
  • .vmtm
  • .vmx
  • .vsdx
  • .vsv
  • .work
  • .xls
  • .xlsx
  • .xml
  • .xvd
  • .zip

 


ディスクの暗号化には、オープンソースのパーティション暗号化ツールDiskCryptor(https://github.com/smartinm/diskcryptor)が使用されます。

この段階で、MBRと第2ステージのブートローダーの両方が暗号化されます。

DiskCryptorドライバとのすべての相互作用は、次のデバイスを開いて行われます。

\\.\dcrypt

暗号化プロセスを開始する際には、次のIOCTLがこのデバイスに送られます。

DC_CTL_ENCRYPT_START

ファイルの暗号化に使用されるパスワードは2種類あるようです。1つは、システムの起動時に入力するパスワード、もう1つは、前述した拡張子のファイルを復号化するためのパスワードです。ファイルの復号化は、システムの起動時に、ディスク上のすべての暗号化ファイルを列挙しながら実行されます。