ロシアとウクライナの間の地政学的緊張が高まる中で、2013年から続いているサイバー戦争が、ここ最近、新たな拡大の局面を迎えており、Webサイトの改ざんやDDoS攻撃など、ウクライナの利害に関係する標的を狙った攻撃が、過去数か月の間に相次いで発生しています。

直近では、WhisperGateやHermeticWiperと呼ばれる破壊力の高いワイパーを展開する巧妙な多段階攻撃が確認されています。Cybereasonは、どちらのマルウェアも検知およびブロックしています。CybereasonがWhisperGateのバリアントをどのようにブロックしているのかを、以下で具体的にご説明します。

ウクライナを狙うWhisperGateワイパー

ランサムウェアを装うWhisperGateの攻撃を受けて、ウクライナでは多数の組織が機能不全に陥りました。破壊力の大きなマルウェアでロシアがウクライナの組織を攻撃したのは、これが初めてではありません。同様の攻撃は2017年にも行われており、ウクライナの企業が多数、NotPetyaランサムウェアの標的になりました。この攻撃は、Sandwormと呼ばれるロシアのエリートATPグループが仕掛けたものです。

NotPetyaによる攻撃はウクライナだけを標的に始まった攻撃であるにもかかわらず、後に世界中へと「拡散」し、欧州やアジア、米国も巻き添えとなり、大きな被害を受けました。過去の事例から判断すると、同様のケースが再度発生することは十分に考えられます。今後他の国が、WhisperGateや類似のワイパーの被害を受けるおそれがあり、しかもその被害の規模は小さくないと予想されるのです。

CybereasonがWhisperGateワイパーを検知およびブロック

WhisperGateは、多段階の感染チェーンを通じて展開されます。メインのマルウェアコンポーネントとして以下の2つが使用されます。

  • ステージ1マスターブートレコード(MBR)ロッカー – オペレーティングシステムのMBRを書き換えて、オペレーティングシステムの正常なローディングを妨害するのに使用されます。
  • ステージ2:ディスクワイパー – 標的のマシン上のファイルを消去、破壊するために使用されます。

ワイパーによる攻撃を仕掛けたのは、ロシアの特定のAPTグループではありませんでした。しかし、ウクライナの政府高官は、ロシアが今後の軍事活動に向けた「準備」の一環としてこの攻撃を仕掛けた可能性があると、公に明らかにしています

CybereasonのPlatformのCybereason Anti-Ransomware and Anti-MBR corruptionテクノロジーは、WhisperGateワイパーなどのあらゆるランサムウェアとワイパーを検知し、その攻撃を防ぎます。

▲CybereasonがWhisperGateを検出 – UIへの通知


▲CybereasonがWhisperGateをブロック – ユーザーへの通知


▲WhisperGateの攻撃フロー図

攻撃に備えるための推奨事項

  • Cybereason NGAVのアンチランサムウェア機能を有効にする:Cybereason Anti-Ransomwareの保護モードを[Prevent]に設定し、MBRの保護を[On]に設定します。
  • Cybereason NGAVのアンチマルウェア機能を有効にする:Cybereason Anti-Malwareのモードを[Prevent]に設定し、検知モードを[Moderate]以上に設定します。
  • システムに確実にパッチを適用する:脆弱性によるリスクを低減するために、システムに確実にパッチを適用します。
  • リモートサーバーにファイルを定期的にバックアップする:データを再度利用できるよう復旧措置をする場合、バックアップからファイルを復元する方法が最も速く環境を元に戻せます。
  • セキュリティソリューションを活用する:ファイアウォール、プロキシ、Webフィルタリング、メールフィルタリングのソリューションを組織全体に適用し、環境を保護します。

Cybereasonが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/