「Ransomware」カテゴリーアーカイブ

テキサス州22自治体のランサムウェア感染についてまとめてみた

2019年8月16日、米国テキサス州の複数の自治体(町など)でRansomwareによる被害が同時期に発生しました。州の調査ではこれら被害は同一の攻撃者によるものと報告されています。ここでは関連する情報をまとめます。

Tx DIRの報告

テキサス州 Department of Information Resources(TDIR)による発表は以下の通り。

日時 出来事
2019年8月16日 朝 テキサス州内の22自治体でランサムウェア被害発生。
同日 夜 州オペレーションセンターが昼夜シフトで稼働開始。
同日 TDIRが当該事象に関する報告(第一報)
2019年8月17日 TDIRが当該事象に関する報告(第二報)
2019年8月20日 TDIRが当該事象に関する報告(第三報)

ランサムウェア被害の状況

  • ランサムウェア感染は2019年8月16日朝に発生。
  • 被害報告のあった自治体は22組織(当初23だったがその後修正。)
  • テキサス州の緊急対応システムで2番目の警告を発令。
  • 被害を受けた自治体の多くは小規模だった。
  • FBI捜査対象の事案となったため、追加情報の開示が行われない状況。

感染したランサムウェア

City of Wilmerではデスクトップに青い画面に次のメッセージが表示されるシーンが報じられている。

All of your files are encrypted!
Find 101n27-readme.txt and follow instuctions

感染までの手口

f:id:piyokango:20190822172638p:plain
一部組織では委託先が攻撃を受けた可能性を指摘

  • TDIRは発信元の調査を行うも、まずは被害への対応と復旧を優先事項として処理中。
  • テキサス州のシステム、ネットワークに対して侵害の兆候はない。
  • City of Keeneが被害を受けたシステムは町外のテクノロジーサービス企業が管理していた。
  • Keene市長は委託先企業が利用する情報管理ソフトウェアが侵害されたとコメントしている。
  • TDIRは被害は自治体の特定部門が大半だったと答えている。

被害対応・復旧の状況

  • 報告された22全ての自治体で担当者が対応に当たっており、順次オンラインへ復旧させている。
  • 8月20日時点で25%以上が修復・復旧作業へ移行した。
  • 直接影響を受けていない2自治体(Grayson County、City of Denison)も予防的措置として一部システムがオフラインにされた。

被害報告があった自治体

  • 更なる攻撃に備えTDIRから自治体名は公表されていない。
  • テキサス州には自治体が1,216組織存在する。

被害を公表、報じられた自治体は以下の通り。

No 被害に遭った自治体名 被害の状況等
1 Lubbock County Ransomwareに対して迅速な対応、封じ込めが行われたと報道
他の端末、システムへの影響はなかった。
2 City of Borger
(人口:約13,300人)
一部の行政(出生死亡届等)、金融関連業務へ影響
Facebookへの投稿(8月16日)
Facebookへの投稿(8月20日)
3 City of Keene
(人口:約6,100人)
水道料金の支払い等に影響が出た。
4 City of Wilmer
(人口:約3,600人)
裁判所、水道、警察、消防署、公共図書館のシステムに影響が出た。
5 City of Kaufman
(人口:約7,300人)
Facebookへの投稿(8月20日の投稿)

更新履歴

  • 2019年8月22日 PM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

発生直後はFacebookを通じて情報公開が行われていた。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 2019年3月21日に公開された声明

www.hydro.com

  • 2019年3月22日に公開された声明

www.hydro.com

  • 2019年3月25日に公開された声明

www.hydro.com

  • 2019年3月26日に公開された声明

www.hydro.com

  • 2019年3月27日に公開された声明

www.hydro.com

  • 2019年3月28日に公開された声明

www.hydro.com

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 3月20日発生直後の公式サイトの様子

f:id:piyokango:20190320060346p:plain

インシデントタイムライン

日時 出来事
2019年3月18日夕方 Norsk Hydro社内でシステム異常が発生。
2019年3月19日0時頃 Norsk Hydroが異常なトラフィックを検出。
2019年3月19日15時 記者会見しサイバー攻撃による大規模なシステム障害が発生したと発表。
2019年3月21日 Norsk Hydro社の公式サイト復旧。

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • ノルウェーの捜査当局(Kripos)は捜査を開始している。

LockerGogaについて

(1)マルウェアのこれまでの経緯
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
  • TalosはRansomwareに偽装するWiperマルウェアの可能性も指摘している。*3
(2)暗号化機能
  • 暗号化の対象となるファイルは次のもの。
Word .doc/.dot/.docx/.dotx/.docb/.wbk
EXCEL .xlm/.xltx/.xlsx/.xlsb/.xlw
POWEROPINT .ppt/.pptx/.pot/.pps/.potx/.ppsx/.sldx
PDF
  • -wオプションで起動された場合は全てのファイルが対象になる。
  • 暗号化されたファイルは「.locked」が末尾につけられる。
  • 暗号化はゴミ箱の中身まで対象とする。
  • 暗号化実施後は「readme_locked.txt」というランサムノート(テキストファイル)を生成。*4
(3)その他の機能
  • 次のコマンドを用いたWindows イベントログの消去機能が存在する。
"C:\Windows\system32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace
  • 外部のサーバー等に接続する機能は有していない。
  • ネットワーク内部で自己増殖する機能は有していない。
(4)身代金のやり取り
  • 身代金のやり取りは要求文に記述されたメールアドレス宛に連絡するよう呼びかけるもの。
  • メールアドレス(Proton等が2件記述)は事案によって別のものが用いられる模様。

関連が疑われる検体

  • 1月とは異なり今回は失効した証明書が用いられていた模様。

Norsk Hydroへの影響

  • 被害の全容・詳細はfacebookなどを通じて適宜開示。
発生当時の様子
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*5
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 発生直後、プレス加工などの一部生産、およびオフィス業務に影響が生じた。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • マルウェアの特定、分析のために外部から専門家の支援を受けている。
  • アルミニウム製造などはマニュアル(手動)オペレーションを移行し、操業を継続中。*6 *7
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroが導入するファイアウォール、セキュリティソリューションでは当時検出できなかった。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*8
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*9
Norsk Hyrdoの被害額
  • 最初の1週間(3月25日時点)で3億~3億5000万ノルウェークロネ(4000万ドル相当)に達したと推定。
  • 被害の大部分はExtruded Solution事業の利益率低下、および取引高によるもの
  • AIGとサイバーリスクに係わる保険契約を有している。

更新履歴

  • 2019年3月20日 AM 新規作成
  • 2019年3月20日 PM LockerGogaの情報を追記
  • 2019年3月21日 PM 続報追加
  • 2019年3月28日 PM 続報追加