WantToCryという名前の新しいランサムウェア作戦は、公開されているサーバーメッセージブロック(SMB)サービスを悪用してファイルをリモートで暗号化する。
従来のランサムウェアは被害者のマシン上で悪意のあるコードを直接実行しますが、WannaCryはデータを流出させ、暗号化し、上書きするためにリモートアクセスに完全に依存しています。
この技術は攻撃者のフットプリントを大幅に減らし、セキュリティチームが分析するためのローカルマルウェアや侵害後の横展開を何も残さない。
このキャンペーンは、SMB脆弱性もターゲットにした悪名高い2017年のWannaCryワームと命名の類似性を共有している。
WantToCryの運用者は、公開されたTCPポート139および445を持つシステムに対して自動化されたブルートフォース攻撃を仕掛けることで侵入を開始する。
攻撃者は弱いまたは侵害された認証情報を使用して認証されたSMBセッションを確立する。被害者のサーバーにマルウェアを配置する代わりに、攻撃者は確立された接続を通じてターゲットのファイルを静かに自分の管理するインフラに引き出す。
実際の暗号化はリモート攻撃者のマシン上で完全に発生する。データをロックした後、脅迫者は同じ認証されたセッションを使用して被害者の元のファイルを新しく暗号化されたバージョンで上書きする。
暗号化フェーズの後、攻撃者は!Want_To_Cry.txtという名前の身代金ノートを残し、すべての影響を受けたファイルに.want_to_cry拡張子を追加する。
これらの攻撃における金銭的な要求は異常に低く、400ドルから1,800ドルの範囲であり、これはホストレベルの暗号化の限定的な範囲を反映している可能性がある。
脅迫者は被害者にQToxまたは指定されたTelegramアカウント経由で連絡するよう指示して、ユニークなビットコインウォレットアドレスを受け取る。
興味深いことに、攻撃者がデータを暗号化するために積極的に流出させている間、アナリストは二重恐喝戦術や盗まれた情報をリークするという脅迫の証拠を見つけていない。
ほとんどのアンチウイルスプラットフォームは、悪意のあるプロセスを検出し、異常な行動パターンを分析し、またはローカルマシン上の既知のマルウェアシグネチャにフラグを付けることに依存している。
WantToCryはすべての悪意のあるアクションをリモートで実行し、ファイル転送に正当なネットワークプロトコルを使用するため、終了する疑わしいローカルプロセスがない。
セキュリティツールは通常、これらの外部ファイル操作を標準的な管理動作と見なし、攻撃者が従来の防御を気づかれずに回避することを可能にする。
このリモート暗号化戦術に対抗するには、ネットワークレベルの制御と厳格なアクセス管理への転換が必要である。
管理者は、廃止されたSMBv1プロトコルを無効にし、環境全体のゲストまたは匿名アクセスを削除することで、基本的なハイジーンを優先する必要がある。
境界ファイアウォールのTCPポート139および445への着信トラフィックをブロックすることは、初期アクセスベクトルを停止するために重要である。
最後に、ファイルコンテンツの急速な変化を監視するツールを導入することは、プロセスがローカルから発生しても外部から発生しても、不正な暗号化活動を検出および停止するのに役立つ。
翻訳元: https://cyberpress.org/wanttocry-exploits-smb-remotely/