ウクライナをサイバー侵害するロシア:ランサムウェアを囮にしたワイパー攻撃

Ransomware used as decoy in data-wiping attacks on Ukraine

2022/02/24 BleepingComputer — ロシアがウクライナに侵攻する直前の水曜日に、ウクライナのネットワークに対する破壊的な攻撃で使用された新しいデータワイパー・マルウェアは、GoLang ベースのランサムウェアのデコイを伴うケースもあった。今日、Symantec は、「これまでに調査した、いくつかの攻撃では、ワイパー・マルウェアと同時にランサムウェアも、標的となる組織に対して展開されていた。ワイパーと同様に、ランサムウェアを展開するための、スケジュールされたタスクが使用されていた」と明らかにした。

Symantec は、「このランサムウェアは、ワイパー攻撃のおとりや目くらましとして使用された可能性が高いと思われる。ウクライナに対して実行された、以前のWhisperGate ワイパー攻撃と類似しており、ワイパーはランサムウェアとして偽装されていた」と述べている。

また、おとりとして展開されたランサムウェアは、感染させたシステムに身代金請求書が投下したが、そこには「新しい選挙から学ぶ唯一のことは、古い選挙から何も学んでいないことだ!」という政治的なメッセージが書かれていたという。

この身代金要求書は、ファイルを取り戻すためには、2つのメール・アドレス (vote2024forjb@protonmail.com と stephanie.jones2024@protonmail.com) に連絡を取るよう被害者に指示していた。

Ukraine ransom note
Note dropped in Ukraine decoy ransomware attacks (Source:BleepingComputer)

SentinelOne の Principal Threat Researcher である Juan Andres Guerrero-Saade が、HermeticWiperと名付けたワイパーは、昨日のウクライナの組織を標的とした攻撃でドロップされ、ウクライナ国境の外側のシステムにも行き着いた。

ワイパー攻撃を受けたターゲットには、ウクライナ/ラトビア/リトアニアの金融や政府に関連する業者も含まれていると、Symantec Threat Intelligence の Technical Director である Vikram Thakur は語っている。

HermeticWiper ワイパー

このサイバー攻撃は昨日に発生したが、サイバー・セキュリティ企業である ESET は、HermeticWiper マルウェアのコンパイル日が2021年12月28日であり、事前に攻撃が計画されていたようだと指摘している。

その一方で Symantec は、2021年11月という早い時期に、攻撃者は Microsoft Exchange の脆弱性を悪用し、Web シェルをインストールした後にワイパー・マルウェアを展開しているという、被害者のネットワークへの事前アクセスの証拠を発見した。たとえば、「リトアニアのある組織は、遅くとも 2021年11月12日ころに侵害されていた」と述べている。

このワイパー・マルウェアは、EaseUS Partition Manager ドライバを用いて、コンピュータを再起動する前に、侵害したデバイスのファイルを破損させる。セキュリティ研究者である Silas Cutler も発見したように、データワイパーはデバイスのマスター・ブート・レコードも破壊し、すべての感染したデバイスを起動不能にするようだ。

つまり、今年に入ってからウクライナのネットワークに対して使用された、2つ目のデータワイパーである。2022年1月に Microsoft が WhisperGate と名付けた、ランサムウェアに偽装された破壊的なデータ・ワイパー・マルウェアは、ウクライナの組織を標的とした攻撃で使用されている。

HermeticWiper と同様、WhisperGate もファイルを破損させ、感染したデバイスのマスター・ブースト・レコードを消去し、オペレーティング・システムの起動やハードディスクに保存されたファイルへのアクセスを、不可能にするために使用されていた。

昨日のウクライナへの攻撃は、まだ原因究明されていない

昨日のマルウェア攻撃は、ウクライナの政府機関や国営銀行に対する DDoS 攻撃と同時に行われた。このマルウェアは、先週の DDoS による障害が、ウクライナの政府や銀行に影響を与えたときに使用されたものと似ている。水曜日の攻撃は解明されていないが、先週の DDoS 攻撃はロシアの軍参謀本部主計局 (GRU) によるものだと、ホワイトハウスは関連付けている。

データ・ワイパーとは、過去において、ロシアの国家に支援されたハッキング・グループが頻繁に使用していたツールである。2017年に、ウクライナの数千の企業を、ランサムウェア NotPetya が襲ったワイパー攻撃については、その3年後に、米国がロシアの GRU ハッカーとの関連を指摘している。

2020年には、Sandworm として知られる、ロシアのエリート・ハッキンググループの一員とみられる GRU ハッカーが、NotPetya 攻撃を引き起こしたとして、米国から正式に起訴されている。今月の DDoS 攻撃とマルウェア攻撃は、ウクライナの治安局 (SSU) が発表した、同国がハイブリッド戦争の大波の標的になっているという、プレス・リリースの後に行われている。

サイバー戦争が、物理的な戦争に与える影響。そして、物理的な戦争が、サイバー戦争に与える影響。どちらも、増幅しています。ウクライナは、IT Army を組織して、ロシアを攻撃す人々を勧誘しているそうです。このサイトでは、文中にもあるハイブリッド戦争について、注視していきたいと思っています。よろしければ、ウクライナで検索も、ご利用ください。

%d bloggers like this: