脅威の評価: DearCryランサムウェア

This post is also available in: English (英語)

概要

先週、Microsoftが「攻撃者が4つのゼロデイ脆弱性使用してExchange Mail Serversを侵害した」と報告しました。同社は修正プログラムを公開しましたが、悪意のあるツールやマルウェアによる攻撃者による脆弱なバージョンのMicrosoft Exchange Serverへの攻撃は続いており、これがデータ漏えいにつながるおそれがあります。さらに同社が確認したところでは、これらの脆弱性を利用するランサムウェアの亜種が存在しており、これは「DearCry」と呼ばれています。これとは無関係なべつの悪名高いランサムウェアファミリとして「WannaCry」があります。こちらは組織化された攻撃キャンペーンのペイロードに使用され、Microsoftの既知の脆弱性を利用して被害端末を一斉に感染させているものです。この名称からして、同ランサムウェアの作者がWannaCryに敬意を表して「DearCry」という名をつけたと考えるのがまず妥当でしょう。

悪意のあるアクティビティの急増を受け、脅威全容の把握のため、本脅威評価を作成しました。観測されたテクニックやそれに対応してとるべき行動方針全体 (CoA) を視覚化した内容についてはUnit 42のATOMビューアからご確認ください。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください （ご相談は弊社製品のお客様には限定されません）。

DearCryランサムウェアの概要

DearCryは、Microsoft Exchange ServerのProxyLogonの脆弱性を初期アクセスに悪用していることが確認されている新たなランサムウェア亜種です。セキュリティリサーチャーのMichael Gillespie氏によれば、ProxyLogon脆弱性を利用した関連Microsoft Exchange Serverの侵害をともなうDearCry身代金メモ出現の初期報告が2021年3月9日に表面化し始めており、その被害対象は米国、カナダ、オーストラリアとされています。

実行されるとDearCryランサムウェアはAES-256とRSA-2048を使用して被害端末のファイルを暗号化し、ファイルヘッダを変更して「DEARCRY!」という文字列を含めます（図1参照）。

多くのランサムウェア亜種同様、DearCryも被害者のデスクトップに身代金メモを残します。ただしDearCryのメモには固定額の身代金要求をするビットコインウォレットアドレスを含める代わりに、被害者が連絡するように求められる2つの電子メールアドレスと、提供されたハッシュを送信するようにという要求が含まれています（図2参照）。

実行中、DearCryはWindowsオペレーティングシステムネイティブではない「msupdate」という名前のサービスも実行します。このサービスはランサムウェアが暗号化プロセスを終了すると後で削除されます。さらに被害システム上ではCD-ROMドライブを除くWindowsオペレーティングシステム上のすべての論理ドライブが列挙され、それによりランサムウェアがRSA公開鍵を使ってファイルの暗号化を開始できるようになります。
2021年3月時点でDearCryランサムウェアは以下のファイル拡張子を持つファイルを標的にしていることが確認されています。
.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT, .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP, .BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB, .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS本稿執筆時点では、本脅威に帰属することが確認されているサンプルにはすべて、感染ファイルの拡張子として.CRYPTが使われています。

行動方針

このセクションでは、DearCryのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。また、お客様にてデバイスの構成が正しく行われているかどうかを確認する方法についてもご説明します。

^{表1 DearCryの行動方針}

<sup>†これらの機能は、NGFWセキュリティサブスクリプションサービスの一部です
* これらの分析検出器は、Cortex XDR Proのお客様に対し自動的にトリガーされます</sup>

結論

DearCryはMicrosoft Exchange ServerのProxyLogon脆弱性を利用する新たなランサムウェアです。またこのランサムウェアは、新たに開示された脆弱性を手っ取り早く使って利益を上げることにより、脅威アクターが脅威の概況にどのような影響を与えることができるかを示した格好の例といえます。弊社は、すべてのMicrosoft Exchange Serverを、Microsoftがリリースした最新の修正を適用したバージョンにただちに更新することを強く推奨します。

パロアルトネットワークスのお客様は、製品エコシステム全体で保護されており、次の製品とサブスクリプションに対策を展開済みです。

• 次世代ファイアウォール
  • セキュリティサブスクリプション: 脅威防御（Content Pack 8380をデプロイし、これら4つのゼロデイ脆弱性を検出）とURLフィルタリング。
• Cortex XDR
• Cortex XSOAR
• WildFire

パロアルトネットワークス製品が保護に最適な方法で構成されていることを確認するためのベストプラクティスがお客様環境で採用されているかどうかについてもぜひご確認ください。

この脅威評価に関連する指標は、GitHub、Unit 42 TAXIIフィード、ATOMビューアからご確認ください。

上記一連のアクションに加え、AutoFocusのお客様は、次のタグを使用して追加のアクティビティを確認できます: DearCry

追加資料

• March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
• WCry/WanaCry ransomware technical analysis
• 脅威の評価: Microsoft Exchange Serverにおける4つのゼロデイ脆弱性の悪用が活発化
• Microsoft Exchange Serverの脆弱性の修復手順
• Microsoft Exchange Serverへの攻撃のタイムライン

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org