「Ransomware」カテゴリーアーカイブ

Citrix脆弱性悪用と窃取データ公開が行われたランサムウェア被害事例についてまとめてみた

フランスのクラウドホスティング事業者がランサムウェアによるシステム侵害を受けたもののバックアップにより数日で復旧したことが報じられました。しかし、その後この攻撃に関与したとみられる人物が同社から盗んだ情報を公開する行為を行いました。ここでは関連する情報をまとめます。

当時0dayだったCitrixの脆弱性悪用

  • ランサムウェア被害を受けたとして報じられた企業は「BretagneTélécom
  • フランスで約3000の顧客を対象にインターネットや電話サービスの提供、クラウドホスティング事業などを行っている。管理しているサーバーは約1万台。
    f:id:piyokango:20200229071216p:plain
    BRETAGNE TELECOM社のWebサイト
  • 同社サイト(公開されたページ)から今回の件に関連する詳細情報を確認できなかったが、Twitterでは1月20日頃にインシデント発生を報告する投稿が行われていた。
  • 取材対応したCEOによれば、攻撃はCitrixの脆弱性 CVE-2019-19781の悪用により、同社のGateway製品が制御下に置かれていたため。攻撃を受けた当時は未修正(0day)の状態だったという。

piyolog.hatenadiary.jp

  • 攻撃は真夜中に発生し、影響を受けたデータは全て暗号化されてしまった。30TB相当のデータ量に被害が及んだ可能性がある。
  • 被害を受けたシステムには約30の小規模な顧客システムがホスティングされていた。この中には古いOSで実行されたビジネスソフトウェア用のアプリケーションサーバーも存在した。
  • 取材によれば同社への身代金は35 BTC、または300,000ユーロ以上が要求されたという。同社はこれに応じていない。

被害から3日で復旧

  • ランサムウェアによる被害は同社の監視システムが異常検知し事態を把握。
  • 復元は高速に行うことができた。これはPure Storage Arrayのスナップショットバックアップシステムを用いていたためだという。
  • このスナップショットを使用することで最大5日前までデータを戻すことが可能。復旧は即時に行わずまずシステムの洗浄作業を行った。
  • ネットワーク隔離後、システムを1つずつ再起動の上洗浄作業を実施。この作業を通じて攻撃者によるスケジューリングされた暗号化タスクのインストール時間を把握できた。
  • 復旧には最終的に3日間を要した。Twitterでは1月23日に復旧報告の投稿が行われている。ストレージ使用量の少ない顧客は復旧作業に6時間以上を要することはなかった。
  • 復旧中には関係者(CNIL、顧客、監査人)に警告情報を発した。

その後 盗まれた情報が公開

  • 2月23日にBretagneTélécomより窃取されたとみられる複数のデータが「Doppel Leaks」と呼称されたサイト上に公開された。
  • 公開された情報はサンプルとされる4つのZIPファイル、148台のOS、ホスト名が列挙された一覧。

f:id:piyokango:20200301041156p:plain
同社より盗んだとみられる情報を公開するページ

  • ZIPファイルには従業員の一覧やExchangeサーバーのクレデンシャルリスト、メールの添付ファイル、デジタル証明書とみられるデータ等が複数含まれていた。

f:id:piyokango:20200301040912p:plain
ファイル更新日付は2020年1月19日が目立つ
f:id:piyokango:20200229111604p:plain
Exchangeサーバーのクレデンシャルとみられる一覧

  • ここ最近、ランサムウェアの脅迫ルーティンへシステム侵害時に情報を盗みそれを脅迫に使うケースが確認されており、DoppelPaymerも同様の対応を行ったとみられる。DoppelPaymerはこのサイトは試行版と取材に対し説明したという。
  • Doppel LeaksにはBretagneTélécom以外に複数の組織(2月29日時点で7つ)が掲載されている。例えば2019年11月に被害が報告されたメキシコ国営石油企業のPemexも名前が載っている。

f:id:piyokango:20200301040220p:plain
DoppelPaymerによる被害組織の公開リスト
組織を狙ったランサムウェアによる脅威として、これまでは①に注目した対策(バックアップ等)が中心だったが、②についても意識すべきとBleepingComputerなどは警鐘を鳴らしている

①可用性侵害の脅威 システムや機微情報を暗号化される
②機密性侵害の脅威 機微情報を盗み、それを他者に販売する、ネット上に公開する

②の事例が確認されたランサムウェア以下のもの。

DoppelPaymerというランサムウェア

  • 今回攻撃に用いられたランサムウェアは「DoppelPaymer」と呼称されるもの。CrowdStrikeが2019年7月に調査報告を公開している。

www.crowdstrike.com

  • CrowdStrikeが被害発生を認知したのは2019年6月、その後の調査で2019年4月以前の存在が確認された。
  • 2017年頃から被害が報告されていたBitpaymerの亜種とみられ、DoppelPaymerでは大半のソースコードが共有されている。
  • 用いられた暗号化の実装(AES-256を利用)から、最新のBitPaymerのソースコードを流用(最近RC4からAESへ移行)している可能性がある。
  • BitPaymerのアクター(INDRIK SPIDER)の分派がDoppelPaymerに関与している可能性。両ランサムウェアとも活動はアクティブな状況。
  • 脅迫文には要求する身代金額の表記がなく、CrowdStrikeが認知している事例では3例(2BTC,40BTC,100BTC)が確認されている。

CrowdStrikeによればソースコードフォークをしたBitPaymerからいくつか新機能がDoppelPaymerに実装されている。

  • ファイルの暗号化実装の高速化(スレッド化)、ネットワーク情報の収集にARPテーブルを利用。
  • ランサムウェアの起動には特定文字列の引数が必要。引数を元にCRC32のチェックサムを計算しハードコードされた定数を加える。この定数はビルド毎に一意に生成。自動解析妨害を目的とした可能性。
  • ProcessHackerにバンドルされているプロセス、サービス終了に利用可能なカーネルドライバの悪用。

DoppelPaymerの表示する脅迫メッセージは以下。

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorythm.

Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation
No decryption software is available in the public.

DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
DO NOT use any recovery software with restoring files overwriting encrypted.
This may lead to the impossibility of recovery of the certain files.

To get info (decrypt your files) contact us at your personal page:

1. Download and install Tor Browser: hxxps://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:

[TORで接続するサイト]

4. Follow the instructions on the site
5. You should get in contact in 48 HOURS since your systems been infected.
6. The link above is valid for 7 days.
After that period if you not get in contact
your local data would be lost completely.
7. Questions? e-mail: btpsupport@protonmail.com
If email not working – new one you can find on a tor page.

The faster you get in contact – the lower price you can expect.

DATA

更新履歴

  • 2020年3月1日 AM 新規作成

Citrix脆弱性悪用と窃取データ公開が行われたランサムウェア被害事例についてまとめてみた

フランスのクラウドホスティング事業者がランサムウェアによるシステム侵害を受けたもののバックアップにより数日で復旧したことが報じられました。しかし、その後この攻撃に関与したとみられる人物が同社から盗んだ情報を公開する行為を行いました。ここでは関連する情報をまとめます。

当時0dayだったCitrixの脆弱性悪用

  • ランサムウェア被害を受けたとして報じられた企業は「BretagneTélécom
  • フランスで約3000の顧客を対象にインターネットや電話サービスの提供、クラウドホスティング事業などを行っている。管理しているサーバーは約1万台。
    f:id:piyokango:20200229071216p:plain
    BRETAGNE TELECOM社のWebサイト
  • 同社サイト(公開されたページ)から今回の件に関連する詳細情報を確認できなかったが、Twitterでは1月20日頃にインシデント発生を報告する投稿が行われていた。
  • 取材対応したCEOによれば、攻撃はCitrixの脆弱性 CVE-2019-19781の悪用により、同社のGateway製品が制御下に置かれていたため。攻撃を受けた当時は未修正(0day)の状態だったという。

piyolog.hatenadiary.jp

  • 攻撃は真夜中に発生し、影響を受けたデータは全て暗号化されてしまった。30TB相当のデータ量に被害が及んだ可能性がある。
  • 被害を受けたシステムには約30の小規模な顧客システムがホスティングされていた。この中には古いOSで実行されたビジネスソフトウェア用のアプリケーションサーバーも存在した。
  • 取材によれば同社への身代金は35 BTC、または300,000ユーロ以上が要求されたという。同社はこれに応じていない。

被害から3日で復旧

  • ランサムウェアによる被害は同社の監視システムが異常検知し事態を把握。
  • 復元は高速に行うことができた。これはPure Storage Arrayのスナップショットバックアップシステムを用いていたためだという。
  • このスナップショットを使用することで最大5日前までデータを戻すことが可能。復旧は即時に行わずまずシステムの洗浄作業を行った。
  • ネットワーク隔離後、システムを1つずつ再起動の上洗浄作業を実施。この作業を通じて攻撃者によるスケジューリングされた暗号化タスクのインストール時間を把握できた。
  • 復旧には最終的に3日間を要した。Twitterでは1月23日に復旧報告の投稿が行われている。ストレージ使用量の少ない顧客は復旧作業に6時間以上を要することはなかった。
  • 復旧中には関係者(CNIL、顧客、監査人)に警告情報を発した。

その後 盗まれた情報が公開

  • 2月23日にBretagneTélécomより窃取されたとみられる複数のデータが「Doppel Leaks」と呼称されたサイト上に公開された。
  • 公開された情報はサンプルとされる4つのZIPファイル、148台のOS、ホスト名が列挙された一覧。

f:id:piyokango:20200301041156p:plain
同社より盗んだとみられる情報を公開するページ

  • ZIPファイルには従業員の一覧やExchangeサーバーのクレデンシャルリスト、メールの添付ファイル、デジタル証明書とみられるデータ等が複数含まれていた。

f:id:piyokango:20200301040912p:plain
ファイル更新日付は2020年1月19日が目立つ
f:id:piyokango:20200229111604p:plain
Exchangeサーバーのクレデンシャルとみられる一覧

  • ここ最近、ランサムウェアの脅迫ルーティンへシステム侵害時に情報を盗みそれを脅迫に使うケースが確認されており、DoppelPaymerも同様の対応を行ったとみられる。DoppelPaymerはこのサイトは試行版と取材に対し説明したという。
  • Doppel LeaksにはBretagneTélécom以外に複数の組織(2月29日時点で7つ)が掲載されている。例えば2019年11月に被害が報告されたメキシコ国営石油企業のPemexも名前が載っている。

f:id:piyokango:20200301040220p:plain
DoppelPaymerによる被害組織の公開リスト
組織を狙ったランサムウェアによる脅威として、これまでは①に注目した対策(バックアップ等)が中心だったが、②についても意識すべきとBleepingComputerなどは警鐘を鳴らしている

①可用性侵害の脅威 システムや機微情報を暗号化される
②機密性侵害の脅威 機微情報を盗み、それを他者に販売する、ネット上に公開する

②の事例が確認されたランサムウェア以下のもの。

DoppelPaymerというランサムウェア

  • 今回攻撃に用いられたランサムウェアは「DoppelPaymer」と呼称されるもの。CrowdStrikeが2019年7月に調査報告を公開している。

www.crowdstrike.com

  • CrowdStrikeが被害発生を認知したのは2019年6月、その後の調査で2019年4月以前の存在が確認された。
  • 2017年頃から被害が報告されていたBitpaymerの亜種とみられ、DoppelPaymerでは大半のソースコードが共有されている。
  • 用いられた暗号化の実装(AES-256を利用)から、最新のBitPaymerのソースコードを流用(最近RC4からAESへ移行)している可能性がある。
  • BitPaymerのアクター(INDRIK SPIDER)の分派がDoppelPaymerに関与している可能性。両ランサムウェアとも活動はアクティブな状況。
  • 脅迫文には要求する身代金額の表記がなく、CrowdStrikeが認知している事例では3例(2BTC,40BTC,100BTC)が確認されている。

CrowdStrikeによればソースコードフォークをしたBitPaymerからいくつか新機能がDoppelPaymerに実装されている。

  • ファイルの暗号化実装の高速化(スレッド化)、ネットワーク情報の収集にARPテーブルを利用。
  • ランサムウェアの起動には特定文字列の引数が必要。引数を元にCRC32のチェックサムを計算しハードコードされた定数を加える。この定数はビルド毎に一意に生成。自動解析妨害を目的とした可能性。
  • ProcessHackerにバンドルされているプロセス、サービス終了に利用可能なカーネルドライバの悪用。

DoppelPaymerの表示する脅迫メッセージは以下。

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorythm.

Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation
No decryption software is available in the public.

DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
DO NOT use any recovery software with restoring files overwriting encrypted.
This may lead to the impossibility of recovery of the certain files.

To get info (decrypt your files) contact us at your personal page:

1. Download and install Tor Browser: hxxps://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:

[TORで接続するサイト]

4. Follow the instructions on the site
5. You should get in contact in 48 HOURS since your systems been infected.
6. The link above is valid for 7 days.
After that period if you not get in contact
your local data would be lost completely.
7. Questions? e-mail: btpsupport@protonmail.com
If email not working – new one you can find on a tor page.

The faster you get in contact – the lower price you can expect.

DATA

更新履歴

  • 2020年3月1日 AM 新規作成

ランサムウェア被害を復旧できずクリスマス直前に300人以上が一時解雇された事例についてまとめてみた

米アーカンソー州にあるテレマーケティング企業はランサムウェアの被害を復旧することができず、300人以上の従業員をレイオフしたことが地元紙などの報道で明らかになりました。ここでは関連する情報をまとめます。

クリスマス直前のレイオフ通知

  • 被害を受けたのはアーカンソー州にあるテレマーケティング企業 The Heritage Company。シャーウッド、ジョーンズボロ、サーシーに支店がある。
  • 同社は2019年12月、クリスマス数日前に従業員に対してレイオフ(一時解雇)の通知を行った。
  • ランサムウェアに感染したのは2019年10月初め。被害について従業員の多くは知らず、今回の通知が予想外だったとされる。
  • レイオフの対象となった同社の従業員数は300人以上。通知を受け、従業員の内数十人は既に失業申請を申請している。

f:id:piyokango:20200105071635p:plain
The Heritage CompanyのWebサイト。この件に関する通知は見受けられず。

身代金を支払うもシステム復旧できず

  • The Heritage Companyはランサムウェアで要求された身代金の支払いに応じていた。
  • 感染したランサムウェアの種類など詳細な状況は明らかにされていないが、 被害後当初1週間程度を予定していた復旧は計画通り進まなかった。
  • 同社が支払いを行った身代金の具体額は不明。この件に対する損失を数十万ドル相当(our losses which have been hundreds of thousands of dollars)としていた。

CEOからFacebookメッセージ

  • 同社のCEO Sandra Franecke氏はFacebookを通じて従業員宛にメッセージを送っていた。全文はKATVの報道に転載されている。*1
  • 当初は2019年11月初めの週にシステムが復旧する見込みだった。
  • CEO自身がランサムウェア被害の影響を甘く見積もっていた可能性がある。
  • 一時的な営業停止を選択した理由としてシステムの再構築ができるまでの唯一の選択肢であり、CEO自身があきらめたくなかったからだと説明している。
  • 2020年1月2日に従業員に対し同社の最新の状況をコールバックで確認するように促していたが、「進捗したがやるべきことがまだたくさんある。別の雇用探しは妨げることはしない。幸せな新年を迎えてほしい」等の録音メッセージが流れるだけであった。*2

更新履歴

  • 2020年1月5日 AM 新規作成

標的型ランサムウェア被害企業が1年以上前からEmotetに感染していた可能性についてまとめてみた

2019年11月17日、米国ウィスコンシン州で介護施設などにMSP事業を行っているVirtual Care Provider Inc(VCPI)は標的型ランサムウェア Ryuk の被害を受け1400万ドル相当の身代金を要求されていたとしてBrain Krebs氏がブログで取り上げました。同氏の取材によれば今回の被害の1年以上前からVCPIがEmotetやTrickBotに侵害されていた可能性を取り上げています。ここでは関連する情報をまとめます。
krebsonsecurity.com

被害を受けたのはMSP事業者

  • VCPIは米国ウィスコンシン州で事業を行っている企業。米国45州に点在する約110の介護施設、救急医療施設を対象としたMSP事業(ITコンサル、ISP、データストレージ、セキュリティ等)を行っている。
  • これらの施設のMSP事業を行うため、約8万台のPC、サーバーの運用を行っており、今回ランサムウェアではこれらの運用設備が被害に遭ったとみられる。
被害の状況

ランサムウェアにより次のサービスが停止するなどの影響が及んだ。

  • インターネットへの接続
  • 電子メールの送受信
  • 患者記録へのアクセス
  • 顧客の請求情報
  • 電話システム
  • VCPIの給与計算などを含む中核のシステム(150人近くの従業員に影響)
VCPIの対応
  • 暗号化されたシステムの復号キーと引き換えに約1400万ドル相当(約1億5千万円)のBitcoinが要求されている。VCPIはこれを支払う余裕はなく、復旧ができない場合一部顧客に影響が及ぶ可能性についてKrebs氏の取材に対し言及している。
  • 介護施設向けのVPNサービスの復旧を優先して作業に当たっている。従業員からは給与支払いへの影響を懸念する声もあるが、医療情報のバックアップ等、生命にかかわる状況の回復が最も優先されるとVCPIのCEOはコメントしている。

VCPIもEmotetに感染していた可能性

  • VCPIの被害事例でもEmotet、またはTrickBot、あるいはその両方に感染し組織内部が侵害されていた可能性がある。これらはRyukによる被害から遅くとも14か月以上前(2018年9月頃)に発生していた模様。
  • これはKrebs氏の取材記事で記載されたもので、Hold SecurityのAlex Holden氏の言質をソースとする情報。
  • Alex氏はダークウェブの通信監視から得た情報よりこれを判断しており、Krebs氏にその情報を公開している。(KrebsOnSecurityの記事中では具体的な内容は記されていない。)

We regret to inform you that our business was attacked with Ryuk encryption ransomware spread by TrickBot virus.

Triple threat、EmotetとTrickbotとRyukの関係
  • Emotetで侵入後、Trickbotで内部拡散し、一部の組織ではその後に標的型ランサムウェア Ryukによる被害を受ける事例がこれまでも報告されている
  • EmotetからTrickbotの展開までが1セットでその後ランサムウェアの被害を受けるかは実行者側の何らかの判断が入っている(あるいは侵害後の基盤を受けついだ別グループによる行為)という推測が各社により行われている。
  • piyokangoが確認した限りでは、Ryuk被害を明らかにしている日本国内で公知となった事例はない。
直近に起きた標的型ランサムウェアの事例

更新履歴

  • 2019年11月29日 AM 新規作成

テキサス州22自治体のランサムウェア感染についてまとめてみた

2019年8月16日、米国テキサス州の複数の自治体(町など)でRansomwareによる被害が同時期に発生しました。州の調査ではこれら被害は同一の攻撃者によるものと報告されています。ここでは関連する情報をまとめます。

Tx DIRの報告

テキサス州 Department of Information Resources(TDIR)による発表は以下の通り。

日時 出来事
2019年8月16日 朝 テキサス州内の22自治体でランサムウェア被害発生。
同日 夜 州オペレーションセンターが昼夜シフトで稼働開始。
同日 TDIRが当該事象に関する報告(第一報)
2019年8月17日 TDIRが当該事象に関する報告(第二報)
2019年8月20日 TDIRが当該事象に関する報告(第三報)

ランサムウェア被害の状況

  • ランサムウェア感染は2019年8月16日朝に発生。
  • 被害報告のあった自治体は22組織(当初23だったがその後修正。)
  • テキサス州の緊急対応システムで2番目の警告を発令。
  • 被害を受けた自治体の多くは小規模だった。
  • FBI捜査対象の事案となったため、追加情報の開示が行われない状況。

感染したランサムウェア

City of Wilmerではデスクトップに青い画面に次のメッセージが表示されるシーンが報じられている。

All of your files are encrypted!
Find 101n27-readme.txt and follow instuctions

感染までの手口

f:id:piyokango:20190822172638p:plain
一部組織では委託先が攻撃を受けた可能性を指摘

  • TDIRは発信元の調査を行うも、まずは被害への対応と復旧を優先事項として処理中。
  • テキサス州のシステム、ネットワークに対して侵害の兆候はない。
  • City of Keeneが被害を受けたシステムは町外のテクノロジーサービス企業が管理していた。
  • Keene市長は委託先企業が利用する情報管理ソフトウェアが侵害されたとコメントしている。
  • TDIRは被害は自治体の特定部門が大半だったと答えている。

被害対応・復旧の状況

  • 報告された22全ての自治体で担当者が対応に当たっており、順次オンラインへ復旧させている。
  • 8月20日時点で25%以上が修復・復旧作業へ移行した。
  • 直接影響を受けていない2自治体(Grayson County、City of Denison)も予防的措置として一部システムがオフラインにされた。

被害報告があった自治体

  • 更なる攻撃に備えTDIRから自治体名は公表されていない。
  • テキサス州には自治体が1,216組織存在する。

被害を公表、報じられた自治体は以下の通り。

No 被害に遭った自治体名 被害の状況等
1 Lubbock County Ransomwareに対して迅速な対応、封じ込めが行われたと報道
他の端末、システムへの影響はなかった。
2 City of Borger
(人口:約13,300人)
一部の行政(出生死亡届等)、金融関連業務へ影響
Facebookへの投稿(8月16日)
Facebookへの投稿(8月20日)
3 City of Keene
(人口:約6,100人)
水道料金の支払い等に影響が出た。
4 City of Wilmer
(人口:約3,600人)
裁判所、水道、警察、消防署、公共図書館のシステムに影響が出た。
5 City of Kaufman
(人口:約7,300人)
Facebookへの投稿(8月20日の投稿)

更新履歴

  • 2019年8月22日 PM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk・Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

2019年3月20日時点でWebサイトも停止状態にあるため、Facebookを通じて情報公開が行われている。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 公式サイトの様子(1週間以内に回復する見込み)

f:id:piyokango:20190320060346p:plain

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • 2019年1月のフランスのコンサルティング企業Altran Technologiesの被害で確認されたものと同じ。*3

Norsk Hydroへの影響

  • 被害の全容・詳細は3月20日時点で確認中の状況。
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*4
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 一部の生産、およびオフィス業務に影響が生じている。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • アルミニウム製造などはマニュアルオペレーションを移行し、操業を継続中。*5
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*6
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*7

更新履歴

  • 2019年3月20日 AM 新規作成

Norsk Hydroで発生したRansomware被害についてまとめてみた

ノルウェーのアルミニウム製造大手 Norsk Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。

Norsk Hydroの公式発表

発生直後はFacebookを通じて情報公開が行われていた。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook

  • 2019年3月21日に公開された声明

www.hydro.com

  • 2019年3月22日に公開された声明

www.hydro.com

  • 2019年3月25日に公開された声明

www.hydro.com

  • 2019年3月26日に公開された声明

www.hydro.com

  • 2019年3月27日に公開された声明

www.hydro.com

  • 2019年3月28日に公開された声明

www.hydro.com

  • 同日行われたビデオ記者会見

http://webtv.hegnar.no/presentation.php?webcastId=97819442

  • ノルウェー証券取引法に基づく情報開示

www.globenewswire.com

  • 3月20日発生直後の公式サイトの様子

f:id:piyokango:20190320060346p:plain

インシデントタイムライン

日時 出来事
2019年3月18日夕方 Norsk Hydro社内でシステム異常が発生。
2019年3月19日0時頃 Norsk Hydroが異常なトラフィックを検出。
2019年3月19日15時 記者会見しサイバー攻撃による大規模なシステム障害が発生したと発表。
2019年3月21日 Norsk Hydro社の公式サイト復旧。

RansomwareはLockerGoga

  • 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
  • Active Directoryへの攻撃と組み合わせにより行われたもの。
  • Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
  • Norsk社員が事態に気付いたのは深夜0時頃。
  • ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
  • NorCERTもLockerGogaについて緊急の警告を出している。
  • ノルウェーの捜査当局(Kripos)は捜査を開始している。

LockerGogaについて

(1)マルウェアのこれまでの経緯
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
  • TalosはRansomwareに偽装するWiperマルウェアの可能性も指摘している。*3
(2)暗号化機能
  • 暗号化の対象となるファイルは次のもの。
Word .doc/.dot/.docx/.dotx/.docb/.wbk
EXCEL .xlm/.xltx/.xlsx/.xlsb/.xlw
POWEROPINT .ppt/.pptx/.pot/.pps/.potx/.ppsx/.sldx
PDF
  • -wオプションで起動された場合は全てのファイルが対象になる。
  • 暗号化されたファイルは「.locked」が末尾につけられる。
  • 暗号化はゴミ箱の中身まで対象とする。
  • 暗号化実施後は「readme_locked.txt」というランサムノート(テキストファイル)を生成。*4
(3)その他の機能
  • 次のコマンドを用いたWindows イベントログの消去機能が存在する。
"C:\Windows\system32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace
  • 外部のサーバー等に接続する機能は有していない。
  • ネットワーク内部で自己増殖する機能は有していない。
(4)身代金のやり取り
  • 身代金のやり取りは要求文に記述されたメールアドレス宛に連絡するよう呼びかけるもの。
  • メールアドレス(Proton等が2件記述)は事案によって別のものが用いられる模様。

関連が疑われる検体

  • 1月とは異なり今回は失効した証明書が用いられていた模様。

Norsk Hydroへの影響

  • 被害の全容・詳細はfacebookなどを通じて適宜開示。
発生当時の様子
  • ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*5
  • Norsk Hydro社のITネットワーク全体が停止した。
  • 発生直後、プレス加工などの一部生産、およびオフィス業務に影響が生じた。
  • 今回の事案による安全保安上の事故事件は発生していない。
  • プラントはマルウェアによる影響拡散防止のためにシステムから分離。
  • マルウェアの特定、分析のために外部から専門家の支援を受けている。
  • アルミニウム製造などはマニュアル(手動)オペレーションを移行し、操業を継続中。*6 *7
  • 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
  • Norsk Hydroが導入するファイアウォール、セキュリティソリューションでは当時検出できなかった。
  • Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*8
  • 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*9
Norsk Hyrdoの被害額
  • 最初の1週間(3月25日時点)で3億~3億5000万ノルウェークロネ(4000万ドル相当)に達したと推定。
  • 被害の大部分はExtruded Solution事業の利益率低下、および取引高によるもの
  • AIGとサイバーリスクに係わる保険契約を有している。

更新履歴

  • 2019年3月20日 AM 新規作成
  • 2019年3月20日 PM LockerGogaの情報を追記
  • 2019年3月21日 PM 続報追加
  • 2019年3月28日 PM 続報追加