世界中のコンピューターに不可逆的な損傷を引き起こす悲惨なワイパーマルウェア

wiper malware

ある日目覚めて、写真や文書などの重要なデータがすべて復元されずに消去されたことを想像してください。恐ろしい考えですね。テクノロジーが変化すると、貴重なデータを保存する方法も変わります。それに直面しよう、ユーザーは自分のコンピューターにあるすべての写真やドキュメントの紙のコピーを保持しません。忙しい日々の日常生活の中で、人々はすぐにアクセスできるように電子デバイスにデータを保存することに慣れています。

問題は、特にポータブルHDDやUSBスティックのような別のデバイスにバックアップを保持する習慣を持っているユーザーが少ないことです。最悪の事態への準備に失敗すると、彼らはWiperマルウェア攻撃の完全な犠牲者になります。その唯一の目的は、犠牲者が自分のコンピューターに保存するデータを破壊することです。

Wiperマルウェアの脅威とは何ですか?

その名前が示すように、「ワイパー」はデータを破壊するようにプログラムされたマルウェアの脅威です。興味深いことに、その目的は、攻撃者の利益のためにお金や個人情報を盗むことではなく、短い時間枠で最大の破壊を生み出すことです。サイバー犯罪者は、ワイパー攻撃を使用して政府、組織、および企業に不可逆的な損害を与えることにより、恐怖をまき散らすことができます。

そのような破壊を引き起こすことによって、彼らは正確に何を得るのでしょうか?攻撃者を動機付ける主な理由は2つあります。

  • メッセージの送信(通常は政治的なメッセージ)
  • トラックを隠す

ワイパーマルウェアはランサムウェアとは異なります

ワイパーマルウェアは別の脅威であるランサムウェアに似ています。しかし、ランサムウェアは被害者が身代金を支払うことでファイルへのアクセス取り戻す方法を提供しますが、ワイパーの脅威は回復の方法なしにそれらを永久に削除します。

2017年には、ランサムウェアを装ったNotPetyaと呼ばれるワイパーが登場しました。この脅威は世界中で大きな損害を引き起こし、その費用は100億ドルを超えると推定されました。当初、NotPetyaはウクライナのみを標的とするはずでしたが、攻撃者はマルウェアを世界中に拡散しました。報告によると、この脅威は個人ファイルを暗号化し、被害者に復号化キーの支払いを求めます。ただし、マルウェアのソースコードを分析した結果、復号化オプションはなかったことがわかりました。 NotPetyaは解読に必要なキーを表示できますが、無駄な乱数にしか解読できません。

petyaランサムウェアワイパーコード
画像は、Petya Ransomwareの元のコードと比較したNotPetyaの変更されたワイパーコードを示しています。出典:The Hacker News

ワイパーが動作する悪意のある方法

このマルウェアファミリのワイパーは動作が異なる場合がありますが、ターゲットは常に同じです。

  • ファイル
  • バックアップ
  • システムブートセクション

これらのターゲットのうち、最も時間がかかるのは最初のターゲットです。ディスクドライブの上書きには時間がかかりすぎるため、前述のように、ワイパーはデータを可能な限り迅速に破壊しようとします。これが、マルウェアが特定の間隔で特定の量のデータを書き込むことにより、ランダムにファイルを削除する理由です。他の戦術には、特定のファイルタイプをターゲットにするか、ディスクドライブの暗号化キーポイント使用して 、復号化キー部分を除いてランサムウェアとして動作することが含まれます。ファイルの破壊が完了すると、ワイパーは回復システムにヒットし、ユーザーが失われたデータを回復できないようにします。マスターファイルテーブル(MFT)は、作成日、場所、アクセス許可など、PC上のすべてのファイルに関する情報を保存します。これは、MFTが破損した場合、ファイルシステム(NTFS)がディスクからファイルを復元できないため、保存されたファイルが回復不能であることを確認する絶好の機会です。

ファイルシステムとディスクパーティションに関する情報は、マスターブートレコード(MBR)に格納されます。これは、ボリュームブートレコード(VBR)のブートローダーを呼び出すこともできます。そのため、MBRとVBRに何かが発生した場合、それが損傷または変更であっても、コンピューターはOSの起動とファイルシステムのロードに失敗します。ファイルが完全に削除されるには時間がかかりますが、MBRとVBRの場合はそうではありません。MBRとVBRは、上書きまたはキーレス暗号化によって数秒で破損する可能性があります。

既に述べたように、ワイパーは力で全力を尽くし、行った損害が不可逆的であることを保証し、被害者はデータを回収する方法がありません。そのためには、このマルウェアはWindows OSの特定の機能(つまり、Windows回復コンソール、Windowsバックアップなど)を攻撃する必要があります。これらの機能は、破損/変更されたファイルシステムの復元に不可欠です。

世界中のワイパーの悲惨な影響の顕著な例

ワイパーの最初の登場は、2008年にイランのビジネスおよび金融ソフトウェアを標的としたトラブルを引き起こしたNarilamと呼ばれる脅威に起因しています。
Groovemonitorは、2012年のイランに対するワイパー攻撃の名前です。このマルウェアについて不思議なのは、破壊を引き起こす特定のデータ間隔でデータを書き込まなかったことです。代わりに、Groovemonitorのターゲットは特定の日付に作成された特定のファイルでした。

その名前が示すように、ダークソウルは韓国をターゲットにしたワイパーです。この脅威は、メディアおよび銀行会社に対する攻撃で2013年に有名になりました。

2014年11月24日に、 Sony Picturesに対する特定のWiperマルウェア攻撃がニュースになりました。この攻撃は、映画「インタビュー」での北朝鮮の指導者キム・ジョンウンのかなり面白くない描写への応答として来ました。地政学的ななりすましは、CIAが接近し、北朝鮮の独裁者を暗殺する使命を託されている2人の親しい友人(ジェームズフランコとセスロゲンを主演)についての物語です。サイバー犯罪者は映画の撤回を要求しました。ソニーが彼らの要求に応じなかったとき、会社は破壊的なワイパーマルウェアに見舞われ、大きなデータ損失をもたらしました。攻撃者の身元は謎のままでしたが、北朝鮮の関与は米国当局によって疑われ、オバマ政権はソニー・ピクチャーズへのワイパー攻撃に応じて北朝鮮に対する新たな制裁を課しました。

ペティヤワイパーソニーアタック
Sony攻撃で使用されるワイパーメカニズムを説明する画像。出典:セキュリティアフェアーズ

「今日の行動は、破壊的で不安定化する行為について北朝鮮に責任を負わせるという我々のコミットメントによって推進されている」と、ジャック・ルー米国財務長官は述べた。

別の声明の中で、ホワイトハウスは次のように主張しました。

Shamoonは、2012年から2016年の間に雇用されたワイパー家の有名な代表者で、サウジのエネルギー会社という特定の目標を念頭に置いています。 IBMのX-Forceのレポートによると、最も破壊的なShamoon攻撃は2012年のサウジアラムコに対するもので、これにより約35,000台のワークステーションのデータが破壊されました。このマルウェアは、ハードディスク上のデータを直接変更できるRawDiskと呼ばれる市販のドライバーのおかげで、ファイルにアクセスすることができました。 Shamoonの以前のバージョンは燃えているアメリカの国旗の写真を使用してファイルを上書きすることが知られていますが、2016年以降のバージョンではAlan Kurdiの身体の写真を使用していました。

ZeroCleareは、2018年後半から2019年前半にかけて攻撃が増加した新しいワイパーの脅威です。 ZeroCleareは、Shamoonと同様に、RawDiskツールキットの助けを借りて、ターゲットのWindowsベースのコンピューターのMBRとディスクパーティションを上書きすることで動作します。 ZeroCleareは、Windowsコントロールをバイパスするために、悪意のあるPowerShell / Batchスクリプトを使用します。

「私たちの調査によると、ZeroCleareは中東のエネルギーおよび産業部門の組織に影響を与える破壊的な攻撃を実行するために使用されました。マルウェアと攻撃者の行動の分析に基づき、 IBMのセキュリティ研究者兼エグゼクティブセキュリティアドバイザーであるLimor Kessemは次のように述べています。

2019年12月29日に、バーレーンの国営石油会社であるBapcoは、Dustmanと呼ばれるワイパーで打撃を受けました。攻撃者は、Bapcoネットワークに侵入して、接続されているすべてのマシンに感染することにより、ワイパーをAVソフトウェアにロードすることができました。ただし、一部のコンピューターでは、マルウェアが正常に動作しなかったため、まったく損傷はありませんでした。この欠陥により、マルウェアのタイプとその背後にいる攻撃者の証拠が残りました。アナリストによると、この攻撃は米国との既知の緊張に関係しているとは考えにくい。主な容疑者は、外国の石油およびガス会社をハッキングした歴史があるため、イランのハッカーです。

ワイパー攻撃を防ぐ方法はありますか?

Europolのレポートは、近い将来にワイパー攻撃が増加する可能性があると予測しているため、脅威を詳しく知り、最悪の事態に備える方法を学ぶことが最善です。感染したマシンでワイパーがアクティブになると、ワイパーを停止する方法はありません。データを保護する最善の方法は、脅威の事前実行を予測および分析できるセキュリティソリューションを選択することです。そして最も重要なこと-すべての重要なデータ、理想的にはオフサイトを常にバックアップすることを忘れないでください。このように、ワイパーがシステムを攻撃した場合でも、失われたデータを復元する明確なパスがあります。

Zane
February 6, 2020
Malware
日本語
February 6, 2020
Malware

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。