[ ウイルス/マルウェアの活動受付: Clop ランサムウェア変種 ]

ランサムウェア Clop 変種の形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

ウイルス/マルウェアの活動対象項目と情報

• 確認日2020年11月23日（月）
• ダメージ発生2020年11月22日（日）発生該当グループ社内多数被害発生推定
• オペレーティングシステムWindows 7以上の系列オペレーティングシステムの予想一般的なPCとサーバーOSの両方を対象
• 追加情報ディスク全体とネットワーク共有データ攻撃の進行
• 詳細分析ランサムウェアの流布とシステム侵入の仕方/感染関連事項の確認/感染に対する一般的な措置勧告

ランサムウェアの拡散とシステム侵入方法

侵害事故への直接的な侵入経路と流通方式の一部は、調査中に明確に知られていない状況です。

既存のClopランサムウェア攻撃の事例とサンプルファイルの分析を通じて、一般的なPCおよびサーバーOSオペレーティングシステムへの予想侵入方法について説明します。システムセキュリティパッチとセキュリティ製品の最新化などを多角的に見てください。

[サーバーとPC共通]

セキュリティ設定 不十分な状態でランサムウェア感染して主な資料漏洩 進行した状況

• 簡単なパスワードの使用とアクセス制御ポリシーなしで外部から広く知られているデフォルトのリモートポート（リモートコントロール3389、sshターミナル22）への接続の形態継続的に使用する場合、SMBの脆弱性を使用した内部侵入ポイントになる可能性が高い
• 内部ネットワークへの円滑なアクセスのために構築されたVPN環境で、アカウント管理およびアクセスシステムのセキュリティアップデートが未適用でセキュリティ脆弱な形で管理され、管理者アカウントの漏洩などによる内部システム対象の大規模感染伝播の可能性が高い
• サポートが終了し、セキュリティ更新プログラムが適用されていないオペレーティングシステムおよびソフトウェアを使用してセキュリティ脆弱性をパッチしない状態でシステムを使用する場合、ユーザーの意図にかかわらず、攻撃者の目的に基づくシステム被害が発生する可能性が高い

【ユーザーPC環境中心】

システム使用間のセキュリティルールの部分がうまく守られず、マルウェア侵入後に追加のランサムウェア感染被害が発生することがよくあります。

• 公文、履歴書、見積書などで偽装した悪性メールの添付ファイルを確認せずに実行
• P2Pプログラムを通じてダウンロードされた最新の映画など違法偽装されたファイルを実行
• 脆弱なバージョンのブラウザ（IE：Internet Explorer）を継続的に利用中、マルウェアが隠れているウェブサイト訪問だけでもシステム内のマルウェア（ランサムウェア）侵入を実行

特に、一般的なWindows 7オペレーティングシステムおよびWindows Server 2008および2008 R2製品の場合、2020年1月14日以降にセキュリティパッチサポートが終了した状態であり、最新のWindows 10オペレーティングシステムおよびWindows Server 2019バージョンでも新しいランサムウェアがシステムの脆弱性を流布や実行される形態が発生すると、システム感染や被害発生が必然的に発生すると見られます。

感染関連事項の確認

• Clopバリアントランサムウェアマルウェア実行後に実行コードをメモリに割り当てる
• 自己削除の進行後にキーコードを実行する
• ランサムウェアマルウェア自身をシステムサービスとして登録後実行
• 自分自身に対する冗長実行の有無をチェックし、システム権限取得試行後に追加実行
• イベントログの削除とローカルドライブのフルチェック後の暗号化の試み
• ネットワーク上の接続を試行可能な場所を回り、暗号化を試みる
• システムCドライブ内のファイルターゲット暗号化の試み
• 暗号化関連のランサムノート（README_README.txt）の生成
• 復旧費用の請求及び応えない場合被害者資料流出脅迫追加進行

感染に対する一般的な措置の勧告

• 最新のアップデートがサポートされているオペレーティングシステムに変更することをお勧めします。
  [サーバー：Windows Server 2012、2016、2019]
  [PC：Windows 10]
• オペレーティングシステムのセキュリティアップデートに関する最新情報を維持してください。
• セキュリティの脆弱性が発生した後、パッチが不十分なIEブラウザの使用を避けてください。
• ソース 不明な資料のダウンロードとインターネット経由の動画鑑賞/変換をお忘れなく。

ホワイトディフェンダーに関する事項

そのランサムウェアの場合、実際のファイルが存在する型とファイルが存在しない型が混用されて流布されるように見え、fileless型のランサムウェアの場合、一般的なシグネチャベースの事前検出を行うワクチンプログラムでブロックしにくい特性を持っています。

これにホワイトディフェンダー製品のようにランサムウェア行為検出に特化した製品を通じてできるだけ防御を進めなければならず、セキュリティ脆弱性に対する最新化アップデートの維持と重要資料の周期的なバックアップおよびシステム分離保管するセキュリティルールを準用しなければなりません。