Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Everisのランサム被害

NTTデータのスペイン子会社Everisがランサム攻撃を受けて、多くのシステムを止める羽目に陥ったと11/4のBleeping Computerが報じてました。日本で報じられていないランサムウェア被害は数多くありますが、日本のSIer企業が親会社だけに、この事件が日本でほとんど報じられてないのは少し気がかりです。

www.bleepingcomputer.com

 

NTTデータの会社であり、スペイン最大のマネージドサービスプロバイダー(MSP)の1つであるEverisは、スペイン最大のラジオ局Cadena SER(SociedadEspañoladeRadiodifusión)と同様に、ランサムウェア攻撃でコンピューターシステムを今日暗号化しました。

ランサムウェア攻撃はまだ会社によって承認されていませんが、Everisの暗号化されたコンピューターに残された身代金メモはすでに漏洩しており、BleepingComputerはMSPのデータがBitPaymerランサムウェアを使用して感染したことを確認できます。

攻撃が開始された後、Everisは「Everisネットワーク上で大規模なウイルス攻撃を受けています。PCをオフにしてください」という内部通知を送信しました。

(中略)

攻撃者は、Everisに、bitcoin.es によって報告されたファイルのロックを解除するための復号化キーを取得するための750,000ユーロ(835,923ドル)の身代金を要求しました。

 

(Bleeping Computer記事より引用)※機械翻訳

 

◆キタきつねの所感

親会社であるNTTデータは、本件についてリリースは出して無い様です。

では被害を受けたとされるEverisは・・とみて見ると、こちらもリリースは出てない様に思います。意図的に沈黙するのは広報戦略としてはある意味正しい事なのだと思いますが、ITコンサルティングを主業務の1つにするNTTデータ、そしてスペイン大手のITコンサルティング企業であるEverisが沈黙対応で良いのか?といった論調の海外記事も多数みかけました。

 

NTTデータは2013年にEveris社を子会社化してます。

 スペインeveris Groupの子会社化について | NTTデータ


 

ランサム被害の証跡についてはEverisの従業員経由と思われますが、Twitterにランサムの画面が出ています。

 

この画面に関して言えば、Bleeping Computerの記事に書かれている様に、身代金要求画面にに社名(Everis)が記載されている所などは、BitPaymerランサムウェアの特徴とよく似ています。

BitPaymer | トレンドマイクロ セキュリティブログ


ランサム(身代金)の金額は、75万ユーロ(約9000万円)と多くの記事に書かれてましたが、身代金を払ったという記事は見かけませんでした。

 

しかしEveris(NTTデータ)がクローズにして事件の鎮静化を図っていたにも関わらず、セキュリティ専門家は、様々な証跡からだと思いますが、既に事件分析が終わっている様です。ウィルストータルに以下の投稿が掲載されていました。(この内容の信ぴょう性は高そうな気がします)

f:id:foxcafelate:20191116173442p:plain

 

これを見ると、概要としては、攻撃は以下の様な手順だった様です。

 ① 侵害されたWebサイトにEveris従業員を誘導(※フィッシングメール?ここは記載なし)

 ② 偽のブラウザ更新プログラムに見せかけて、悪意あるJavaScriptを読み込ませ

  「EMOTET」C2Cマルウェア感染させる

 ③ PowerShellエクスプロイトを感染端末にインストール

 ④ ネットワークを調査し、感染端末から認証情報を取得

 ⑤ ラテラルムーブメントで、サーバー等を侵害

 ⑥ ランサムウェア(BitPaymer)を配布し感染を拡大

 

参考までこの投稿機械翻訳内容も貼っておきます。

1.侵害の兆候

脅威のフェーズは次のとおりです。
1.偽のブラウザの更新を表示してファイルをダウンロードするようにソースコードが変更された、侵害されたWebサイトへのeverisユーザーアクセス。
2.このファイルは、「EMOTET」に分類されるC2Cマルウェアをデバイスに感染させるJavaScriptコード(JS)です。このJavaScriptは追加のexeファイルを作成します。
3.攻撃者が感染したデバイスを制御したら、Empire1というPowerShellポストエクスプロイトフレームワークをインストールします。感染したデバイスEmpire Frameworkを使用して、攻撃者はネットワークを列挙し、感染したデバイスのキャッシュから資格情報を取得します。これにより、異なるホストとサーバーで異なる帝国のインストールが見られます。
4.攻撃者は、「BitPaymer / IEncrypt」と呼ばれるランサムウェアファミリを、侵害されたホストとサーバーを介してeverisデバイスに配布します

* https://github.com/EmpireProject/Empire

1.1.1侵害されたWebサイト

偽のブラウザの更新をシミュレートするためにソースコードを変更した、侵害されたWebサイト。

URL:hxxps:// esancendoc [。] esan [。] edu [。] pe /-侵害されたWebサイト

1.1.2悪意のあるファイル

侵害されたWebサイトは、JSファイル「Chrome.Update.3f61f4.js」をダウンロードします。 JSスクリプトは、EMOTETに分類された「crhome.update.3f61f4.exe」をダウンロードするドロッパーです。追加のexe“ d0409052256c6efc85b155f58cc03f70.exe”ファイルが作成され、実行されます。

侵害の兆候

Chrome.Update.3f61f4.js

MD5:a9db3444e9c50da5ce6845ccc116255c
MD5:c1a5725f45e6a35bd82852210e29f941

マルウェアをダウンロードするURL

URL:hxxps:// click [。] clickanalytics208 [。] com / s_code [。] js?cid = 240&v = 73a55f6de3dee2a751c3

EMOTET-crhome.update.3f61f4.exe

SHA256:628c181e6b9797d8356e43066ae182a45e6c37dbee28d9093df8f0825c342d4c

IP:195.123.213.19
ポート:443

EMOTET-d0409052256c6efc85b155f58cc03f70.exe

SHA256:1d778359ab155cb190b9f2a7086c3bcb4082aa195ff8f754dae2d665fd20aa05

1.1.3横方向の動き

横方向の移動は、攻撃者がEmpireと呼ばれるPowerShellのポストプロットフレームワークを介して実行されます。横方向の移動は、sysinternalsツール「psexesvc.exe」を介して実行されました。

侵害の兆候

Empireフレームワーク

IP:185.92.74.215
ポート:443

1.1.4感染

マルウェアは、侵害された資産から影響を受けるエンドポイントに配布されます。

侵害の兆候

BitPaymer / IEncrypt

SHA256:bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f-evrs.exe

VirusTotal投稿より引用)※機械翻訳

 

標的型(ランサム)攻撃の例として、こうした情報は日本でも警戒して方が良いかと思うので、少し前の投稿ではありますが、記事を取り上げました。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 IT土方のイラスト



 

更新履歴

  • 2019年11月16日PM(予約投稿)