2017-06-27
ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた
インシデントまとめ | |
2017年6月27日頃からウクライナ、ロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃はランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。
確認されているランサムウェア
攻撃経路
次の脆弱性が悪用されているとの情報があります。
- CVE-2017-0199
- MS17-010 (EternalBlue Exploit)
次の方法を用いて内部で拡散するとの情報があります。
- PsExec
- WMIC
検体サンプル
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 二次検体等のHash https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
通信先と見られるIPアドレス
次の通信先に接続しているとの情報があります。
- 84[.]200[.]16[.]242
- 95[.]141[.]115[.]108
- 111[.]90[.]139[.]247
- 185[.]165[.]29[.]78
ランサムウェアの取引先アドレス
報道、報告されている被害の状況
| 政府・自治体 | ウクライナ政府、エネルギー・石油産業省、総務省のWebサイトで接続障害発生。 キエフ市役所も攻撃を受けた模様。 |
|---|---|
| 金融 | ウクライナ中央銀行、Oschadbank、Sberbank、TASKomertsbank、Ukrgasbank、Pivdenny、OTP Bank、Kredobank |
| 交通 | Boryspil国際空港、キエフ地下鉄、ウクライナ鉄道 空港は電光掲示板等で障害発生。 |
| 放送 | Radio Era-FM、Football.ua、STB、TV Channel 24、Radio "Lux"、Radio "Maximum"、"KP in Ukraine"、TV channel ATR 、Korrespondent.net、Epicenter、Arcelor Mittal、Ukrtelecom、Ukrposhta |
| 大手企業 | 航空機製造会社Antonov、郵便局Ukrposhta、電力Kyivenergo、Naftogaz Ukraine DTEK、"Dniproenergo、Kyivvodocanal、Novus 電力供給への影響はない模様。 |
| 移動通信 | Lifecell、Kyivstar、Vodafone Ukraine |
| 医療 | Farmak、Boris clinic、Feofania Hospital Corporation Arterium |
| ガソリンスタンド | WOG、Klo、TNK |
ウクライナ以外でも被害や影響を受けたと情報が出ている。
| ロシア | 石油系企業ロスネフチ、バシネフチのWebサイトで接続障害発生。 原因不明だが、政府系ネットワークがダウン。 鉄鋼エブラズも攻撃を受けた。 |
|---|---|
| デンマーク | 海運コングロマリットのA.P.モラー・マースクのITシステムがダウン。 |
| アメリカ | 製薬会社メルク、法律事務所DLA Piper'sの地方事務所が影響を受けたとの情報。 |
| イギリス | 広告代理店WPPが被害を受けたとの情報。 |
| フランス | 建材、ガラス製造のサンゴパンで影響が出た。 |
| オランダ | 船会社 TNTで一部システムに影響が及び修復が必要との情報。 |
| スペイン | 食品 Mondelezの事務所が攻撃を受けたとの情報。 |
| インド | 詳細不明だが被害が出ているとの情報。 |
| オランダ | APMターミナルが運営する17のターミナルで影響が出た。 |
- これらが全て同じランサムウェアによるものかは不明。
被害報告の関連ツイート
Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить. pic.twitter.com/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo) 2017年6月27日
Current situation of Petrwrap/wowsmith123456 ransomware - percentage of infections by country. pic.twitter.com/Q42WPlBlja
— Costin Raiu (@craiu) 2017年6月27日
Ransom ware attack reportedly used against TRK Luks (majority held by Lviv mayor Sadoviy), includes 24 Kanal too. https://t.co/K8ESouloCK pic.twitter.com/SK7Y62yBsz
— Devin Ackles (@DevinAckles) 2017年6月27日
#Nieuws: Rotterdamse containerterminal ligt plat door hack. O.a. 's werelds grootste rederij Maersk Line getroffen door grote cyberaanval. pic.twitter.com/liW1Tumrju
— Paul Henriquez (@OpiniePaultje) 2017年6月27日
A tipster sends along this photo taken outside DLA Piper's D.C. office around 10am. #Petya pic.twitter.com/HWS4UFlvQR
— Eric Geller (@ericgeller) 2017年6月27日
Yes, this(https://t.co/LLpWkU2Ngr) is pretty much wanacry without the kill switch. A mayor reason things like this will start happening now: pic.twitter.com/SQZFpp2GOC
— Yonathan Klijnsma (@ydklijnsma) 2017年6月27日
.@MaerskLine en sus terminales @APMTerminals sufre un ciber ataque que puede conllevar retrasos en las mercancías. Seguiremos informando. pic.twitter.com/mhjmy4O1ii
— Estibador ⚓️ (@mundoestiba) 2017年6月27日
更新履歴
- 2017年6月28日 AM 新規作成