TT Malware Log

マルウェア / サイバー攻撃 / 解析技術に関する「個人」の調査・研究・参照ログ

ランサムウェア「WannaCry」の現状をKasperskyが解説

Ransomware: WannaCry *マルウェア種別: ランサムウェア / Ransomware セキュリティ企業: Kaspersky *マルウェア種別: Worm / ワーム

f:id:tanigawa:20170519054549p:plain
TCP 445番ポートへの日別接続数
出典: http://internet.watch.impress.co.jp/docs/news/1060364.html

【概要】

SMB v1の脆弱性を悪用するエクスプロイト「EternalBlue」を使ってバックドア「DoublePulsar」をインストールし、システムへ感染
EternalBlueは、ハッカー集団の「Shadow Brokers」が米国国家安全保障局（NSA）より窃取し、4月に流出させたもの
メールを介した攻撃は確認していない
一部では、セキュリティが侵害されたウェブサイトが使われたことを示唆する手がかりを得ている
EternalBlueによる攻撃では、SMB v1に加え、SMB v2への通信も利用される
最初の亜種は、キルスイッチの接続先ドメインが変更
その後にはキルスイッチを削除した亜種も登場
ごく初期の亜種と見られる検体と、サイバー攻撃集団「Lazarus」による2015年2月の検体に類似点

【ニュース】

◆ランサムウェア「WannaCry」の現状をKasperskyが解説 (Internet Watch, 2017/05/18 16:23)
http://internet.watch.impress.co.jp/docs/news/1060364.html

【関連情報】

◆WannaCry (まとめ) (TT Malware Log, 2017/05/12)
⇒ http://malware-log.hatenablog.com/entry/WannaCry

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023