「Morphisec」ライターチームです。
EKANSとは、2019年12月に発見された産業制御システム(ICS)を標的とするランサムウェア、Megacortexとは、2019年5月に発見された大企業を標的にするランサムウェアです。この記事では、大企業を標的とする2種類のランサムウェアについて、被害事例や対策ソリューションを紹介しています。
- Morphisecのページから資料を無料ダウンロード
マルウェアの攻撃を無効化する対策
目次
2020年6月、大手自動車メーカーがランサムウェアEKANSに感染
2020年6月大手自動車メーカーがサイバー攻撃によりシステム障害が起こっていることが報じられました。報道は日本のみならず、海外でも注目を浴び、海外メディアでも取り上げられました。
大手自動車メーカーのブランドや各国の拠点の工場が停止したことはもちろんですが、サイバーセキュリティの観点も相まってより注目されました。
なぜ、サイバーセキュリティの観点でも注目されたかというと、報道の前日、マルウェア検査サイトVirus Total上に、被害に遭った自動車メーカーを狙ったとされるマルウェアがアップロードされたことによります。
各国のセキュリティアナリストらが当マルウェアを調査した結果、ランサムウェア「EKANS」の亜種であること、さらにコード内に自動車メーカーに関するホスト名が確認されたことから、EKANSランサムウェアによる被害ではないかという予想が立ちました(調査当時は、攻撃の詳細は明かされていなかったため、あくまで予想となります)。
また、ほぼ同日にアルゼンチンのエネルギー企業も同様にサイバー攻撃の被害を受けたことから、この攻撃が本格的な標的型攻撃であったと周知されたことが、より注目された一因ではないかと思われます。
今回は、今注目のランサムウェア「EKANS」を紹介します。そのほか、EKANSと似た機能を持つ標的型ランサムウェア「Megacortex」についてもご紹介します。
ランサムウェアEKANSとは?産業制御システムを攻撃するランサムウェア
EKANS概要
EKANSは2019年12月に発見され、2020年1月に公表された、産業制御システム(ICS:Industrial Control System)、つまり工場や石油、電力系を標的とするランサムウェアです。
EKANSという命名理由は、暗号化したファイルの末尾に「EKANS」という文字列を付与することからと言われています(逆から読むとSNAKE(蛇)のため、SNAKEランサムウェアとも呼ばれることも)。
EKANSはファイルを暗号化するランサムウェア機能に加えて、一般的なプロセスやICSに関するプロセスを停止させるという特有の機能を持ちます。
これにより、ICSが停止することの大きな損失と、復旧にも多大な時間とコストを要することから、EKANSは産業系に対して非常に大きな損害を与える脅威的なランサムウェアとされます。
今回確認されたEKANSの亜種の被害事例
MalwareBytes社のレポートによると、今回注目されているランサムウェアは、EKANSの亜種とされ、侵入先の内部サーバと思われるホスト名の名前解決を行うプロセスが確認されています。
このホスト名には、大手自動車メーカーとアルゼンチンのエネルギー企業のそれぞれに対応したサーバのホスト名が指定されていたことから、この2社それぞれに対する標的型攻撃であることが強く予想されました。
さらに、内部サーバのホスト名がコードに組み込まれていたことから、高度なソーシャルエンジニアリングや長期的な偵察行動などを入念に行われていたと思われます。
また、両社の共通点として、RDPによるアクセスが公開されているマシンが幾つか存在していたことも指摘されており、これが侵入経路として悪用されたのではないかとの予想も立っております(こちらもあくまで予想の範疇となります)。
侵入方法はいずれにせよ、一度EKANSが実行されると多大な損害が発生することから、EKANSが実行されるまでに、いかにして攻撃を特定・防止するかが重要となります。
ランサムウェアMegacortexとは?大企業を標的とするランサムウェア
Megacortex概要
Megacortexとは、2019年5月に発見された大企業を標的にするランサムウェアです*2 *3 。語源は、暗号化したファイルの身代金メモの内容が、映画「マトリックス」の登場人物の口調に似せていること、文中に「マトリックス」の主人公が働くMetacortex社の綴り間違い「Megacortex」が記載されていたことです。
Megacortexは感染方法が非常に高度であり、より多くのターゲットを感染させるために高度な自動化が行われていたことから、強力なランサムウェアとして注目されました。
Megacortexの感染について
Megacortexの感染には、マルウェアローダ(ドロッパー)のRietspoofやEmotet、Qbotなどが利用されていると疑われています。Emotetは今年(2020年)の1月に日本でも多数の被害が発生したことから、記憶に新しいですね。
また、感染のためにドメインコントローラ(DC)を狙う機能も持ち、DCを利用することでより多く端末に感染させることを試みます。
DCに侵入するための認証情報は、Emotetなどの情報取集ツールやソーシャルエンジニアリングなどにより事前に搾取していることから、より確実に攻撃を成功させる標的型攻撃となります。
Megacortex感染後の被害
DCへの侵入によりMegacortexを感染・拡散させた後は、Megacortexが難読化したPowerShellスクリプトを実行し、大量のプロセスやサービスの強制終了あるいは停止させるうえ、サービスのスタートアップ時の起動を無効にします。
この停止処理の存在により、Megacortexの実行に成功すると業務やサービスの強制停止に追い込まれるうえ、多大な復旧コストも発生しますので、多大な損害となることが安易に想像できます。
この停止させるサービスの中には、老舗のAVソフトなども含まれ、確実に暗号化処理を完遂するための工夫が施されています。このように、EKANSとアクティビティが似ていることが分かり、EKANSを発見したDragos社*4 からもMegacortexとの類似性が指摘されています。
サービスやプロセスの停止後は、ランサムウェアとしての暗号化処理を行い、映画「マトリックス」の登場人物の口調に似せている身代金メモを残します。
EKANSとMegacortexの考えうる対策
Megacortexは世界各地で猛威をふるい、現在はバージョン4にまでアップデートを重ねていることから、今もなお脅威としてあり続けています。
対策として、Megacortexはドメインコントローラへの侵入により感染先を増やすことから、DCへの侵入リスクを低減するために2要素認証を用いることがあげられます。
さらに加えるなら、入念な偵察行動により奪取されても悪用できないような認証情報を用いることが望ましいです。
また、EKANSとMegacortexはともに単一で攻撃が成功するのではなく、必ずこれらを感染させるためのプロセスが存在します。そのため、これらのランサムウェアに感染する前に防止することが重要となります。
例えば、マルウェアドロッパーの実行をブロックするマルウェア対策ソフトの利用や、インターネットから直接RDPでアクセスせずに、セキュアにリモートアクセスできる仕組みを構築することなどが挙げられます。
- Morphisecのページから資料を無料ダウンロード
メモリ領域のランダマイズでマルウェアドロッパーの挙動を阻止
出典 (参考文献一覧)
※1 Sophos News | “MegaCortex” ransomware wants to be The One (参照日:2020-6-16)
※2 MBSD | 標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く(参照日:2020-06-16)
※3 Dragos | EKANS Ransomware and ICS Operations(参照日:2020-06-16)