「Ransomware」カテゴリーアーカイブ

ランサムウェア被害を復旧できずクリスマス直前に300人以上が一時解雇された事例についてまとめてみた

米アーカンソー州にあるテレマーケティング企業はランサムウェアの被害を復旧することができず、300人以上の従業員をレイオフしたことが地元紙などの報道で明らかになりました。ここでは関連する情報をまとめます。

クリスマス直前のレイオフ通知

  • 被害を受けたのはアーカンソー州にあるテレマーケティング企業 The Heritage Company。シャーウッド、ジョーンズボロ、サーシーに支店がある。
  • 同社は2019年12月、クリスマス数日前に従業員に対してレイオフ(一時解雇)の通知を行った。
  • ランサムウェアに感染したのは2019年10月初め。被害について従業員の多くは知らず、今回の通知が予想外だったとされる。
  • レイオフの対象となった同社の従業員数は300人以上。通知を受け、従業員の内数十人は既に失業申請を申請している。

f:id:piyokango:20200105071635p:plain
The Heritage CompanyのWebサイト。この件に関する通知は見受けられず。

身代金を支払うもシステム復旧できず

  • The Heritage Companyはランサムウェアで要求された身代金の支払いに応じていた。
  • 感染したランサムウェアの種類など詳細な状況は明らかにされていないが、 被害後当初1週間程度を予定していた復旧は計画通り進まなかった。
  • 同社が支払いを行った身代金の具体額は不明。この件に対する損失を数十万ドル相当(our losses which have been hundreds of thousands of dollars)としていた。

CEOからFacebookメッセージ

  • 同社のCEO Sandra Franecke氏はFacebookを通じて従業員宛にメッセージを送っていた。全文はKATVの報道に転載されている。*1
  • 当初は2019年11月初めの週にシステムが復旧する見込みだった。
  • CEO自身がランサムウェア被害の影響を甘く見積もっていた可能性がある。
  • 一時的な営業停止を選択した理由としてシステムの再構築ができるまでの唯一の選択肢であり、CEO自身があきらめたくなかったからだと説明している。
  • 2020年1月2日に従業員に対し同社の最新の状況をコールバックで確認するように促していたが、「進捗したがやるべきことがまだたくさんある。別の雇用探しは妨げることはしない。幸せな新年を迎えてほしい」等の録音メッセージが流れるだけであった。*2

更新履歴

  • 2020年1月5日 AM 新規作成

標的型ランサムウェア被害企業が1年以上前からEmotetに感染していた可能性についてまとめてみた

2019年11月17日、米国ウィスコンシン州で介護施設などにMSP事業を行っているVirtual Care Provider Inc(VCPI)は標的型ランサムウェア Ryuk の被害を受け1400万ドル相当の身代金を要求されていたとしてBrain Krebs氏がブログで取り上げました。同氏の取材によれば今回の被害の1年以上前からVCPIがEmotetやTrickBotに侵害されていた可能性を取り上げています。ここでは関連する情報をまとめます。
krebsonsecurity.com

被害を受けたのはMSP事業者

  • VCPIは米国ウィスコンシン州で事業を行っている企業。米国45州に点在する約110の介護施設、救急医療施設を対象としたMSP事業(ITコンサル、ISP、データストレージ、セキュリティ等)を行っている。
  • これらの施設のMSP事業を行うため、約8万台のPC、サーバーの運用を行っており、今回ランサムウェアではこれらの運用設備が被害に遭ったとみられる。
被害の状況

ランサムウェアにより次のサービスが停止するなどの影響が及んだ。

  • インターネットへの接続
  • 電子メールの送受信
  • 患者記録へのアクセス
  • 顧客の請求情報
  • 電話システム
  • VCPIの給与計算などを含む中核のシステム(150人近くの従業員に影響)
VCPIの対応
  • 暗号化されたシステムの復号キーと引き換えに約1400万ドル相当(約1億5千万円)のBitcoinが要求されている。VCPIはこれを支払う余裕はなく、復旧ができない場合一部顧客に影響が及ぶ可能性についてKrebs氏の取材に対し言及している。
  • 介護施設向けのVPNサービスの復旧を優先して作業に当たっている。従業員からは給与支払いへの影響を懸念する声もあるが、医療情報のバックアップ等、生命にかかわる状況の回復が最も優先されるとVCPIのCEOはコメントしている。

VCPIもEmotetに感染していた可能性

  • VCPIの被害事例でもEmotet、またはTrickBot、あるいはその両方に感染し組織内部が侵害されていた可能性がある。これらはRyukによる被害から遅くとも14か月以上前(2018年9月頃)に発生していた模様。
  • これはKrebs氏の取材記事で記載されたもので、Hold SecurityのAlex Holden氏の言質をソースとする情報。
  • Alex氏はダークウェブの通信監視から得た情報よりこれを判断しており、Krebs氏にその情報を公開している。(KrebsOnSecurityの記事中では具体的な内容は記されていない。)

We regret to inform you that our business was attacked with Ryuk encryption ransomware spread by TrickBot virus.

Triple threat、EmotetとTrickbotとRyukの関係
  • Emotetで侵入後、Trickbotで内部拡散し、一部の組織ではその後に標的型ランサムウェア Ryukによる被害を受ける事例がこれまでも報告されている
  • EmotetからTrickbotの展開までが1セットでその後ランサムウェアの被害を受けるかは実行者側の何らかの判断が入っている(あるいは侵害後の基盤を受けついだ別グループによる行為)という推測が各社により行われている。
  • piyokangoが確認した限りでは、Ryuk被害を明らかにしている日本国内で公知となった事例はない。
直近に起きた標的型ランサムウェアの事例

更新履歴

  • 2019年11月29日 AM 新規作成

テキサス州22自治体のランサムウェア感染についてまとめてみた

2019年8月16日、米国テキサス州の複数の自治体(町など)でRansomwareによる被害が同時期に発生しました。州の調査ではこれら被害は同一の攻撃者によるものと報告されています。ここでは関連する情報をまとめます。

Tx DIRの報告

テキサス州 Department of Information Resources(TDIR)による発表は以下の通り。

日時 出来事
2019年8月16日 朝 テキサス州内の22自治体でランサムウェア被害発生。
同日 夜 州オペレーションセンターが昼夜シフトで稼働開始。
同日 TDIRが当該事象に関する報告(第一報)
2019年8月17日 TDIRが当該事象に関する報告(第二報)
2019年8月20日 TDIRが当該事象に関する報告(第三報)

ランサムウェア被害の状況

  • ランサムウェア感染は2019年8月16日朝に発生。
  • 被害報告のあった自治体は22組織(当初23だったがその後修正。)
  • テキサス州の緊急対応システムで2番目の警告を発令。
  • 被害を受けた自治体の多くは小規模だった。
  • FBI捜査対象の事案となったため、追加情報の開示が行われない状況。

感染したランサムウェア

City of Wilmerではデスクトップに青い画面に次のメッセージが表示されるシーンが報じられている。

All of your files are encrypted!
Find 101n27-readme.txt and follow instuctions

感染までの手口

f:id:piyokango:20190822172638p:plain
一部組織では委託先が攻撃を受けた可能性を指摘

  • TDIRは発信元の調査を行うも、まずは被害への対応と復旧を優先事項として処理中。
  • テキサス州のシステム、ネットワークに対して侵害の兆候はない。
  • City of Keeneが被害を受けたシステムは町外のテクノロジーサービス企業が管理していた。
  • Keene市長は委託先企業が利用する情報管理ソフトウェアが侵害されたとコメントしている。
  • TDIRは被害は自治体の特定部門が大半だったと答えている。

被害対応・復旧の状況

  • 報告された22全ての自治体で担当者が対応に当たっており、順次オンラインへ復旧させている。
  • 8月20日時点で25%以上が修復・復旧作業へ移行した。
  • 直接影響を受けていない2自治体(Grayson County、City of Denison)も予防的措置として一部システムがオフラインにされた。

被害報告があった自治体

  • 更なる攻撃に備えTDIRから自治体名は公表されていない。
  • テキサス州には自治体が1,216組織存在する。

被害を公表、報じられた自治体は以下の通り。

No 被害に遭った自治体名 被害の状況等
1 Lubbock County Ransomwareに対して迅速な対応、封じ込めが行われたと報道
他の端末、システムへの影響はなかった。
2 City of Borger
(人口:約13,300人)
一部の行政(出生死亡届等)、金融関連業務へ影響
Facebookへの投稿(8月16日)
Facebookへの投稿(8月20日)
3 City of Keene
(人口:約6,100人)
水道料金の支払い等に影響が出た。
4 City of Wilmer
(人口:約3,600人)
裁判所、水道、警察、消防署、公共図書館のシステムに影響が出た。
5 City of Kaufman
(人口:約7,300人)
Facebookへの投稿(8月20日の投稿)

更新履歴

  • 2019年8月22日 PM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

発生直後はFacebookを通じて情報公開が行われていた。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 2019年3月21日に公開された声明

www.hydro.com

  • 2019年3月22日に公開された声明

www.hydro.com

  • 2019年3月25日に公開された声明

www.hydro.com

  • 2019年3月26日に公開された声明

www.hydro.com

  • 2019年3月27日に公開された声明

www.hydro.com

  • 2019年3月28日に公開された声明

www.hydro.com

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 3月20日発生直後の公式サイトの様子

f:id:piyokango:20190320060346p:plain

インシデントタイムライン

日時 出来事
2019年3月18日夕方 Norsk Hydro社内でシステム異常が発生。
2019年3月19日0時頃 Norsk Hydroが異常なトラフィックを検出。
2019年3月19日15時 記者会見しサイバー攻撃による大規模なシステム障害が発生したと発表。
2019年3月21日 Norsk Hydro社の公式サイト復旧。

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • ノルウェーの捜査当局(Kripos)は捜査を開始している。

LockerGogaについて

(1)マルウェアのこれまでの経緯
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
  • TalosはRansomwareに偽装するWiperマルウェアの可能性も指摘している。*3
(2)暗号化機能
  • 暗号化の対象となるファイルは次のもの。
Word .doc/.dot/.docx/.dotx/.docb/.wbk
EXCEL .xlm/.xltx/.xlsx/.xlsb/.xlw
POWEROPINT .ppt/.pptx/.pot/.pps/.potx/.ppsx/.sldx
PDF
  • -wオプションで起動された場合は全てのファイルが対象になる。
  • 暗号化されたファイルは「.locked」が末尾につけられる。
  • 暗号化はゴミ箱の中身まで対象とする。
  • 暗号化実施後は「readme_locked.txt」というランサムノート(テキストファイル)を生成。*4
(3)その他の機能
  • 次のコマンドを用いたWindows イベントログの消去機能が存在する。
"C:\Windows\system32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace
  • 外部のサーバー等に接続する機能は有していない。
  • ネットワーク内部で自己増殖する機能は有していない。
(4)身代金のやり取り
  • 身代金のやり取りは要求文に記述されたメールアドレス宛に連絡するよう呼びかけるもの。
  • メールアドレス(Proton等が2件記述)は事案によって別のものが用いられる模様。

関連が疑われる検体

  • 1月とは異なり今回は失効した証明書が用いられていた模様。

Norsk Hydroへの影響

  • 被害の全容・詳細はfacebookなどを通じて適宜開示。
発生当時の様子
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*5
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 発生直後、プレス加工などの一部生産、およびオフィス業務に影響が生じた。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • マルウェアの特定、分析のために外部から専門家の支援を受けている。
  • アルミニウム製造などはマニュアル(手動)オペレーションを移行し、操業を継続中。*6 *7
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroが導入するファイアウォール、セキュリティソリューションでは当時検出できなかった。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*8
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*9
Norsk Hyrdoの被害額
  • 最初の1週間(3月25日時点)で3億~3億5000万ノルウェークロネ(4000万ドル相当)に達したと推定。
  • 被害の大部分はExtruded Solution事業の利益率低下、および取引高によるもの
  • AIGとサイバーリスクに係わる保険契約を有している。

更新履歴

  • 2019年3月20日 AM 新規作成
  • 2019年3月20日 PM LockerGogaの情報を追記
  • 2019年3月21日 PM 続報追加
  • 2019年3月28日 PM 続報追加