threatpost.com

ウクライナのエネルギー省(Energy Ministry)がランサムウェの被害に合いました。

この記事によると、どうやら先日話題になったDrupalの脆弱性(CVE-2018-7600)を使って攻撃が行われていたようです。また、今回の攻撃はどこかの国に支援された攻撃グループではなく、アマチュアのハッカー集団だと予想されています。

攻撃方法

今回行われた攻撃は2段階ありました。

最初は、Drupalの脆弱性を使ってサーバに侵入してバックドアを設置し、Webサイトの改ざんが行われました。

次に、侵入した際に設置したバックドアを利用してサーバ内のファイルをランサムウェにより暗号化しました。要求した金額は、たったの0.1bitcoin(約10万円)のようです。

影響範囲

今回行われた攻撃の影響範囲は、かなり限られているようです。

ウクライナのサイバー警察に所属しているYulia Kvitko氏がロイター通信の取材に対して、今回の被害はエネルギー省のみであり他の政府機関には影響はないと言っています。

攻撃グループ

この攻撃は、２つの攻撃グループが何らかの形でコミュニケーションを取りながら行われた可能性があるとThycotic社の最高セキュリティ研究者 Joseph Carson氏は言っています。

また、もっと大きな攻撃に備えるための準備か自分たちのスキルを証明するために行ったのではないかとも言っています。

まとめ

ウクライナの政府機関が狙われたというニュースを見て急いで記事を書きましたが、Joseph Carson 氏が言うようにテストか自分たちのスキル表明のような攻撃で拍子抜けしました。今回の攻撃は、被害がとても少なかったですが、テストであったならば今年中に大きな攻撃が来ても可笑しくないと思います。

今回使われたDrupalの脆弱性(CVE-2018-7600)は、Threat postの記事にも書いてありますが、Botnetでもうすで使用されています(参考2と3)。そのため、今後は無差別で攻撃が行われて被害が増えることが予測されるでしょ。現在は、コインマイナーを設置する攻撃が流行っていますが、いつ傾向が変わってまたランサムウェに移るのか、または全く新しい攻撃に変わるのか分からないため早めのパッチ適用や適切なポート制御(現在確認されている攻撃では、port 7001/tcpが使われます)をした方が良いでしょう。

最後までお読みいただき、ありがとうございました。

急いでまとめたため、読みづらい記事になっているかと思いますがご了承ください。

参考

1) Ransomware infects Ukraine energy ministry website - BBC News

2) Muhstik Botnet Exploits Highly Critical Drupal Bug | Threatpost | The first stop for security news

3)【セキュリティ ニュース】「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる（1ページ目 / 全2ページ）：Security NEXT