2013年に始まったサイバー戦争が新たな局面を迎える中、ウクライナは複数の最新のデーターワイパー（データ消去マルウェア）によって攻撃されています。この数か月間、Webサイトの改ざんやDDoS攻撃など、ウクライナの権益を狙ったサイバー攻撃が相次いでいます。

最近、「HermeticWiper」と呼ばれる極めて有害なデータワイパーを拡散する巧妙な多段階攻撃が確認されています。Cybereason Defense Platformのマルウェア対策機能は、破壊的なHermeticWiperだけでなく、新たに発見された「IsaacWiper」と呼ばれる亜種のワイパーも検知してブロックします。

Cybereason Defense PlatformでHermeticWiperマルウェアを検知・防御するデモ動画

HermeticWiperマルウェア

HermeticWiperマルウェアは、Windowsデバイスを標的とし、マスターブートレコードを操作して、OSの起動エラーを引き起こします。

▲HermeticWiper攻撃を受けたことを示す画面

HermeticWiperのバイナリは、Hermetica Digital Ltdの証明書で署名されており、EaseUS Partition Master Softwareの正規のドライバソフトウェアを悪用してデータを破損します。このワイパーは、特定のロシアのAPTグループに関係付けられてはいませんが、ウクライナ当局は、この攻撃は明らかにロシアによるものであり、今後の軍事作戦のための「地ならし」である可能性があると述べています。

▲Cybereason Defense Platformで検知されたHermeticWiperマルウェア

▲Cybereason Defense Platformに示されたHermeticWiperのファイルパス

▲Cybereason Defense Platformに示されたHermeticWiperファイルの判定

最近発見されたIsaacWiperというワイパーの亜種も、Cybereason Defense Platformで検知してブロックしています。

▲IsaacWiper亜種もCybereason Defense Platformで検知してブロック

攻撃に備えるための推奨事項

• Cybereason NGAVのマルウェア対策機能を有効にする：サイバーリーズンのマルウェア対策モードを [Prevent]に設定し、検出モードを[Moderate]以上に設定します。
• システムのパッチを常に完全適用する：脆弱性を軽減するために、システムには必ずパッチを適用します。
• 定期的にリモートサーバーにファイルをバックアップする：データへのアクセスを回復する最も早い方法は、バックアップからファイルを復元することです。
• セキュリティソリューションを活用する：ファイアウォール、プロキシ、Webフィルタリング、メールフィルタリングなどを用いてシステム環境を保護します。

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜

ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。

本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/