TokyoBlackHatNews

gbhackers.com 4分で読了

WantToCryランサムウェアがSMBを悪用してリモートファイルを暗号化

“WantToCry”という名前の新しいランサムウェアキャンペーンが、公開されているServer Message Block(SMB)サービスを悪用して、侵害されたシステムに従来のマルウェアを展開することなく被害者データにアクセスして暗号化します。

このアプローチは検出表面を大幅に削減し、従来のセキュリティツールが攻撃を識別することを困難にします。

“WantToCry”という名前は、2017年にSMB脆弱性を通じて拡散した悪名高いWannaCryランサムウェアの流行への言及と思われます。

ただし、Sophosは、WantToCryは自己複製型ではなく、WannaCryとの技術的なリンクがないことに注目しています。それにもかかわらず、インターネットに公開されているSMBサービスを持つ組織は、設定が不十分で不適切なアクセス制御により、同様のリスクにさらされています。

分析によると、攻撃者はインターネットをスキャンしてSMBポート、特にTCPポート139と445を公開しているデバイスを探します。

彼らはおそらくShodanやCensysなどの一般公開されている偵察プラットフォームに依存しており、これらはインターネット公開システムをインデックスします。

2026年初頭の時点では、150万以上のデバイスがSMBポートをオンラインでアクセス可能な状態にあることが判明しており、大きな攻撃面を提供しています。

Image

SophosLabsアナリストはWantToCryランサムウェア攻撃を調査し、脅威アクターが初期アクセスのためにServer Message Block(SMB)サービスを悪用し、その後ファイルを攻撃者が制御するインフラストラクチャに流出させてリモート暗号化することを発見しました。 

潜在的なターゲットが特定されると、攻撃者は自動化されたブルートフォース攻撃を実行して、弱いまたは侵害された認証情報を使用してアクセスを取得します。

認証に成功した後、攻撃者はマルウェアをローカルに展開しません。代わりに、SMBセッション上でファイル流出を直接開始し、被害者ファイルを攻撃者が制御するインフラストラクチャに転送します。

WantToCryランサムウェアがSMBを悪用

暗号化プロセスは攻撃者のシステムでリモートで実行されます。ファイルが暗号化されると、同じSMB接続を使用して被害者のマシンに書き戻されます。

暗号化されたファイルには”.want_to_cry”拡張子が追加され、”!Want_To_Cry.txt”という名前の身代金メモが影響を受けたディレクトリにドロップされます。

この方法により、エンドポイント上の悪意のあるバイナリの必要性が排除され、多くのエンドポイント検出および応答(EDR)メカニズムをバイパスします。

Sophosは身代金メモの2つのバリアントを観測し、qToxまたはTelegramを介した通信を提供しています。被害者は通常、ビットコインで約600ドルの支払いを求められていますが、一部のケースでは400ドルから1,800ドルの要求が表示されています。

Image

最新のランサムウェア操作とは異なり、二重脅迫やデータ流出脅迫の証拠はありません。攻撃は限定的な範囲と思われ、ネットワーク全体に横展開するのではなく、公開されているシステムのみに影響することが多いです。

これらの攻撃で使用されるインフラストラクチャは分割されています。初期偵察とブルートフォース試行は、ロシアのホスティングプロバイダーに関連するIPアドレスにリンクされていました。

暗号化段階では、ドイツ、米国、シンガポール、ロシアを含む複数の国に分散された別のシステムが使用されました。

研究者は、WIN-J9D866ESIJ2やWIN-LIVFRVQFMKOなどの繰り返し現れる仮想マシンホスト名も特定しており、これらはLockBitやBlackCatを含む他のマルウェアキャンペーンに以前関連付けられていました。

ただし、これらのシステムはレンタルされた仮想マシンである可能性が高く、単一の脅威アクターの一意の識別子ではありません。

WantToCryは実行可能なマルウェアや疑わしいプロセスに依存しないため、検出は困難です。

行動分析とシグネチャ検出に依存する従来のアンチウイルスおよびEDRツールは、そのようなアクティビティを検出できない場合があります。さらに、SMBベースのファイル操作は一般的に合法的なシステム動作と見なされています。

ただし、攻撃はネットワークレベルの指標を残します。外部IPアドレスからの継続的なファイル読み取りと書き込み操作、または異常な認証試行などの異常なSMBアクティビティは、進行中の攻撃を示唆することがあります。

暗号化検出技術などのファイルコンテンツの変更を監視するツールも、影響を特定して軽減できます。

Sophosは、予防が重要であることを強調しています。組織はSMBv1を無効にし、ファイアウォールでインバウンドSMBトラフィックをブロックし、強力な認証を実装し、バックアップがSMBを介してアクセスできないようにする必要があります。

ネットワークアクティビティの監視とXDRソリューションの実装も、偵察およびブルートフォース試行の早期警告を提供できます。

WantToCryキャンペーンは、攻撃者がソフトウェア脆弱性を悪用するのではなく、設定ミスを悪用するより隠密な技術へシフトしていることを強調しており、公開されたサービスの保護と認証制御の強化の重要性を再確認しています。

翻訳元: https://gbhackers.com/wanttocry-ransomware-exploits-smb/

ソース: gbhackers.com
#SMB悪用 #WantToCry #ネットワークセキュリティ #ファイル暗号化 #ブルートフォース攻撃 #ランサムウェア #リモート実行 #脅威インテリジェンス #脅威分析 #身代金要求

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚