RobbinHood ランサムウェアとは何ですか?それから守る方法は何ですか?
ロビンフッド中世の無法者にちなんで名付けられましたが、スペルが異なるだけです。 シャーウッドの森のロビン・フッド 「b」は 1 つだけです
サイバーセキュリティ研究者は、2019 年 4 月にこのランサムウェアに初めて気づきました。その最初の大規模な攻撃は、政府機関のオフィスに対するものでした。 グリーンビル市 ノースカロライナ州を攻撃し、翌月にはメリーランド州ボルチモア市を攻撃した。
大部分のランサムウェアと同様、RobbinHood は、ランサムウェアを実行するコンピュータを攻撃します。 ウィンドウズ オペレーティング·システム。このマルウェアは、Gigabyte が作成したマザーボード用の低レベル カーネルを導入します。このシステムは廃止されており、バグがあることで知られているため、RobbinHood 攻撃から復旧している企業はファイルを復元する必要があります。 オペレーティングシステムを再インストールする BIOS に至るまで、この欠陥を取り除く必要があります。残念ながら、復号キーを取得するために身代金を支払った人でも、このカーネルの問題が自動的に解決されるわけではありません。
ロビンフッドの由来はどこですか?
RobbinHood はランサムウェア ファミリの一部ではなく、既知のハッカー集団の製品でもありません。サイバーセキュリティアナリストは、RobbinHood を作成したグループや彼らの居住地については何も知りません。しかし、RobbinHood のために作成された身代金メモに手がかりがあります。 2 番目の段落は次のように終わります。「時間を無駄にせず、急いでください。ティクタク、ティクタク、ティクタク!」
時計はさまざまな言語でさまざまなことを言っています。英語では、時計が次のように言っているのが聞こえます。 チクタク 」日本語では時計は「 Kachi kachi 、中国語では「」です。 ディダディダ 」と韓国語で時計は言います。 トクトク 」時計は「 チクタク ” オランダ語とロシア語で。世界中のランサムウェアのほとんどがロシアで製造されていることを考えると、次の可能性が高くなります。 ロビンフッドはロシア人です オランダ語というより。
これがロシア人の仕業であることを示すもう 1 つの兆候は、モジュールの 1 つである Steel.exe のコードが、次の名前のユーザー ディレクトリを参照していることです。 ミハイル 。
RobbinHood ランサムウェアはどのようにしてコンピュータに侵入するのでしょうか?
RobbinHood ランサムウェアは、いくつかの異なる方法を使用してコンピュータに侵入します。ランサムウェアが現れる主な方法は、 フィッシングメール 。これにより、ユーザーは添付ファイルをダウンロードして実行するようになります。もう一つの方法は、 感染したウェブサイト 。このマルウェアは、ブラウザが古いことをユーザーに通知するポップアップをサイトに追加します。ポップアップで [OK] をクリックするとダウンロードが開始され、実行すると、約束されたブラウザのアップデートではなく、RobbinHood 攻撃の最初の部分がインストールされます。もう 1 つの配布方法は、 ファイル共有システム 。インストーラーは望ましいビデオを装って、ユーザーをだましてダウンロードして開かせます。
インストーラーの最初の部分は、セキュリティ上の欠陥がある正規のプログラムです。これは ドライバー ギガバイトマザーボード用。ドライバーとはいわゆる カーネル 。オペレーティング システムのコマンドを解釈して、コンピューターの物理コンポーネント上のアクションを実行します。残念ながら、このドライバーは バグ、 そして、それは Gigabyte によって非推奨になりました。ただし、ファイルには必要なセキュリティ クリアランスがすべて設定されているため、PC はそのファイルが無効であることに気づきません。
このドライバーがコンピューターにインストールされると、既知のバグを通じてハッカーがエントリー ポイントを利用できるようになります。このドライバーを使用すると、他のシステム ファイルをロードして、既存のシステムを置き換えることができます。これは、次のファイル管理システムの影響を受けます。 ウィンドウズ ハッカーがファイルのロックを解除できるようになります。また、ハッカーのバッチ ファイルで次のことが可能になります。 プロセスを強制終了する 。
RobbinHood ランサムウェア攻撃では何が起こるのでしょうか?
インストーラーがロードするバッチ ファイルは、以下を含む多くの実行中のプロセスを強制終了します。 ウイルス対策システム 。 AV が実行されていない場合、マルウェアは検出されずに実行される可能性があります。また、ファイルを開いている可能性のあるエディタも強制終了します。これには、Word と Excel が含まれます。編集用に開いているファイルは、暗号化されたバージョンで上書きできません。
驚くべきことに、このマルウェアは接続されているドライブをすべて切断します。これは他のコンピュータに広がる機会を失ったようです。ただし、暗号化プロセスのワークフローでは次のような問題に対処する必要があるようです。 一度に 1 台のコンピュータ 。ランサムウェア バンドル内のレプリケーション サービスには、次のような機能が期待されています。 広める ネットワーク上の他のコンピュータに対して実行可能な暗号化。したがって、各エンドポイントは個別に暗号化されます。
このランサムウェアは、感染する企業システム全体を占有することに非常に成功しています。暗号化はすぐには実装されませんが、 待つ 多くのコンピュータが感染するまで。アナリストは、ランサムウェアのコントローラーが十分な数のエンドポイントに到達したことをどのようにして認識するのかを知りません。標準のネットワーク監視ツールを使用して、同じネットワークに接続されているすべてのエンドポイントのリストを生成する場合があります。 初期目標 。
RobbinHood ランサムウェアは、 リモートデスクトッププロトコル (RDP)。一部のサイトでは、Windows オペレーティング システムのユーティリティとして実装されているこのプロトコルのパスワードを必要としません。このシステムのもう 1 つのセキュリティ上の欠陥は、次のような推測しやすいパスワードを使用していることです。 パスワード または 123456789 。
準備の最後の段階は、 掃除 これにより、すべてのログ ファイルが削除され、自動保存機能によって作成されたシャドウ コピーが削除されます。この攻撃前のフィナーレは、 スタートアップリカバリモード Windowsの。
RobbinHood の暗号化プロセス
これらのタスクをすべて実行してネットワーク上に拡散し、侵害された各コンピュータのカーネルを変更した後でも、攻撃は中止される可能性があります。ハッカーは土壇場でオンサイトにシステムを組み込んでいます 制御機構 。
暗号化では、外側のラッパーを使用した 2 つの暗号化層が使用されます。 RSA 、公開鍵暗号化システム。暗号化ルーチンを開始する前に、ランサムウェアは Windows の Temp ディレクトリに保存されている RSA 暗号化キーを探します。おそらくドロッパーは、ランサムウェア パッケージ用にこのファイルをインストールしたと考えられます。ただし、暗号化プロセスでそれが見つからない場合、ランサムウェアの手順全体が無効になります。 中止になる 。
システム全体が同じドロッパーによって一緒にインストールされることを考えると、キー ファイルがそこに存在しないのはなぜでしょうか?初期のプロセスの 1 つがオプションで暗号化キー ファイルを削除する可能性があります。ロシアのハッカーは、 ロシア システム言語として。その礼儀は、バルト三国を除く旧ソ連のすべての国の言語に適用されます。偵察プロセスにより、保護された国籍が検出された場合、キー ファイルが削除される場合があります。
暗号化プロセスでは、 AES ファイルごとに新しいキーを使用して暗号化します。その後、各ファイルの元の名前とその暗号化に使用されたキーがファイルに保存され、ファイルは、 4096ビット鍵 Temp ディレクトリで発見されました。したがって、各攻撃は同じ RSA キーによって識別でき、多くの AES キーが保護されます。
各ファイルが暗号化されると、その名前は Encrypted_ に変更されます。
ロビンフッドの身代金
RobbinHood は 4 つのコピーをドロップします。 身代金メモ 暗号化されたドライブ上にテキスト形式で保存され、 HTML 被害者の画面に表示されるバージョン。この要求メモには、お問い合わせフォームへのリンクが含まれています。ただし、対象のページは Tor ブラウザでのみ開くことができます。ハッカーは被害者に 支払いまで4日 身代金を支払わないと、1 日あたり 10,000 ドルずつ増加します。このメモでは、かつては 十日 支払いを行わずに経過した場合、復号キーの記録は削除され、回復の可能性はすべて永久に失われます。
報告書によると、ハッカーは約束を守り、成果を上げているようです 復号化ツール そしてお金を払う人への鍵。元の身代金は、感染したコンピュータの数に応じて、0.8 ビットコインから 13 ビットコインの範囲になります。
問題を解決するには、身代金以上の費用がかかることになります。たとえば、グリーンビル市は、支払った身代金を含め、回収費用の合計は 1,820 万ドルに達すると計算しました。
RobbinHood ランサムウェア攻撃の防止
すべてのマルウェアと同様、予防は治療よりも優れています。あなたが直面する大きな問題は、データが失われることではなく、データが混乱することです。 バグのあるカーネル インストールの原因。各コンピュータを取り外し、オペレーティング システム全体を最初から再インストールする必要があります。
キー ファイル チェックのおかげで、あらゆるコンピュータを RobbinHood 暗号化に対して迅速に防御できます。残念ながら、バージョンが異なると、そのファイルの名前も異なります。たとえば、次のようになります。 公開鍵 または key.pub 。ただし、常に C:Windows一時 フォルダ。したがって、これらの名前ごとに空のファイルを作成し、 ライトプロテクト 彼ら。そうすれば、RobbinHood のインストーラーはキー ファイルをコピーできなくなり、暗号化プロセスが開始されるときにキーが見つからず、失敗します。
ただし、カーネルの問題にはまだ対処する必要があります。完全なマルウェア保護システムは、特定のランサムウェア株をブロックするための簡単な修正よりも優れた計画です。 RobbinHood ランサムウェアとすべてのマルウェアに対する防御のために考慮すべき 2 つのシステムを次に示します。
1. CrowdStrike Falcon Insight (無料トライアル)
クラウドストライク ファルコン インサイト を守るための優れたセキュリティ パッケージです。 幅広いマルウェア 、RobbinHood ランサムウェアなど。残念ながら、RobbinHood には 4 つのバージョンがあり、システムの最新ソフトウェアには元のコードの 23 パーセントしか含まれていません。これは、特定のファイル名やプロセスを検索してマルウェアを検出するだけだった従来の AV の問題を浮き彫りにしています。同じマルウェアでも時間の経過とともに進化し、 明らかな兆候 時代遅れ。代わりに、Falcon Insight は、新しいマルウェアを検出する適応性のある検出システムを使用します。
Falcon Insight システムは次世代です エンドポイントの検出と応答 (EDR)サービス。これにより、エンドポイント上のすべてのアクティビティが追跡され、各ユーザー アカウントの定期的なアクティビティが特定されます。典型的ではない動作が突然現れると、システムは警告を発します。新しいカーネルをインストールする RobbinHood のトリックは、次のカテゴリに当てはまります。 異常な行動 。
CrowdStrike Falcon Insight サービスは、 コーディネーター エンドポイント常駐検出システム用。これらのモジュールは、と呼ばれる製品として個別に入手できます。 ファルコン・プリベント 。
Insight サービスは、エンドポイント エージェントからアクティビティ レポートを受信し、疑わしい動作がないかスキャンするクラウド ベースのモジュールです。これにより、CrowdStrike システムが提供されます。 2点検出 。 1 つ目は 1 つのエンドポイントのアクティビティを調べ、もう 1 つはエンドポイント間でリンクされたアクティビティを調べます。これは、あるエンドポイントから別のエンドポイントに広がるランサムウェア アクティビティを検出するのに役立ちます。
クラウドシステムでも受信可能 脅威インテリジェンス フィード 推奨されるアクションをエンドポイント モジュールに伝達します。さらに、EDR サービスには、進化する攻撃を即座にブロックできる修復システムが含まれています。たとえば、EDR は次のことができます。 検疫ソフトウェア または脅威と思われるプロセスを強制終了します。また、 デバイスを隔離する 感染の拡大を防ぐためにネットワークから遮断します。
を得ることができます15日間の無料トライアルファルコンプリベントの。
CrowdStrike Falcon Insight 15 日間の無料トライアルを開始する
二。 ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus は、次のようなデータ プライバシー標準を備えた企業にとって不可欠なツールです。 GDPR 、 PCI DSS 、 または ヒパア 。これは機密性の高いデータプロテクターです。
幸いなことに、RobbinHood は機密データを盗んだり公開したりしません。ただし、他のマルウェアも同様です。盗まれたデータを公開するという脅威は、被害者に代金を支払うよう促すランサムウェアの標準的な追加脅威になりつつあります。
DataSecurity Plusには、 電子情報開示 機密データ ストアをネットワークで検索するモジュール。それらを見つけると、各場所のデータを分類します。これにより、これらの場所のセキュリティを強化することができます。パッケージには以下も含まれています ファイル整合性モニター 保護されたファイルに触れると警告が表示されます。このツールは、バックアップから復元することで損傷を回復することもできます。また、プロセスを強制終了し、デバイスをネットワークから隔離することもできます。
ManageEngine DataSecurity Plus は次の目的で利用できます。 30日間の無料トライアル 。
