データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大

2017年は「WannaCry」と「ExPetr(NotPetya)」という2つのマルウェアが世界的に猛威をふるいましたが、第3の波として「Bad Rabbit」と呼ばれるマルウェアが、ヨーロッパを中心に急拡大していることが確認されています。

Bad Rabbit: A new ransomware epidemic is on the rise – Kaspersky Lab official blog
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

Bad Rabbit ransomware - Securelist
https://securelist.com/bad-rabbit-ransomware/82851/

Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe
https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine - Motherboard
https://motherboard.vice.com/en_us/article/59yb4q/bad-rabbit-petya-ransomware-russia-ukraine

「Bad Rabbit」はロシアを中心に、ウクライナ、トルコ、ドイツなどヨーロッパに感染が急拡大しているマルウェアで、感染すると保存したデータを暗号化されてしまい、データを復号してほしければ仮想通貨ビットコインで0.05BTC(記事作成時点で約3万2000円)を支払え、と脅されます。暗号化にはDiskCryptorが使われており、データはRSA 2048で暗号化されるとのこと。

Bad Rabbitに感染したPCには、Torの指定のウェブサイトにログインした上でビットコインを支払うように指示する警告画面が現れ、40時間程度の支払期限を示すカウントダウンが行われます。なお、期限が過ぎると今度は復号費用を上げると脅してくるとのこと。


すでにBad Rabbitに感染した200以上の組織・団体が確認されており、中にはロシアの報道機関Interfaxなどが含まれているとのこと。

Interfaxはサイバー攻撃を受けたことが原因でサーバーがダウン中だとツイートしています。

さらに、Bad RabbitはInterfax以外にもFontankaやウクライナの政府機関やOdessa空港などを攻撃中だとセキュリティ対策企業Group-IBは明らかにしています。

Kaspersky Labの初期の分析によると、Bad Rabbitはサイト内に埋め込まれた偽のAdobe Flash Playerのインストーラー(install_flash_player.exe)の手動実行によって感染することがわかっています。そして、ニュースメディアのWebサイトにマルウェア入りのインストーラーが含まれているのが確認されたとKaspersky Labは述べています。また、ESETのセキュリティ研究者は、Bad Rabbitの感染経路は偽のFlash Playerインストーラーだけでなく、オープンソースソフトMimikatzを悪用してWindowsのSMBプロトコルを利用したデータ共有システムでの感染拡大を狙っている可能性を指摘しています。