「WannaCrypt」より巧妙？　「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大

6月27日よりランサムウェア「Petya」の感染が欧州を中心に広がっている。「WannaCrypt」と同様に脆弱性「MS17-010」を利用するのはもちろん、Windowsのユーティリティなど、サイバー攻撃で頻繁に利用されるツールが感染活動に悪用されていた。

同マルウェアは、「Petya」のほか、「Petrwrap」「Nyetya」「GoldenEye」といった別名でも呼ばれるランサムウェア。60種類以上のファイルに対して暗号化を行う機能を備えている。

マスターブートレコードを上書きすることから「Petya」の亜種とされる一方、従来の「Petya」にない機能も多数備え、「Petya」とは異なるマルウェアと見るセキュリティベンダーもある。

「WannaCrypt」と同様に攻撃グループ「Shadow Broker」が4月に公開した「EternalBlue」を利用。「Windows」における「SMBv1」処理の脆弱性「MS17-010」を悪用し、ネットワーク経由で感染を拡大するおそれがある。

また「Mimikatz」を利用してアカウント情報を窃取し、Windowsに用意されているユーティリティ「PsExec」や「WMIC（Windows Management Instrumentation Command-line）」を使用してネットワーク内に感染を拡大する機能も備えていたという。

これらはサイバー攻撃で利用される代表的なツールとして知られており、ネットワーク内部へ侵入されるインシデントが発生した際の調査において、実行された痕跡がないかログの調査対象とすべきツールにも挙げられている。

（Security NEXT - 2017/06/28 ）ツイート