Microsoft:Emotet マルウェアは PC を過熱させてネットワーク全体をシャットダウンする

Microsoftのサイバーセキュリティ・ソリューション・グループの検知・対応チーム(DART)は木曜日、従業員の1人がだまされてフィッシングメールの添付ファイルを開かせられ、Emotetマルウェアによるコンピュータの過熱により顧客のITネットワーク全体がダウンしたと発表した。

このマルウェアは、Fabrikam (Microsoft が被害者の名前として使用した偽名) のシステムに感染し続けました。ケーススタディ) 新しいシステム上で自身を認証する管理者アカウントの資格情報を盗むことによって。

その後、同じネットワーク内の他のシステムに感染することで水平移動を行いました。このウイルスは、Windows デバイスの CPU 使用率を最大化することにより、コア サービスをフリーズさせました。

こちらもお読みください-Emotet マルウェアは Wi-Fi ネットワークを通じて拡散する可能性がある

「DART ケース レポート 002: 完全な運用停止を共有できることを嬉しく思います。レポート 002 では、ポリモーフィック マルウェアが組織のネットワーク全体に拡散した実際のインシデント対応業務を取り上げています。」読むMicrosoft DART の発表。

「ネットワーク共有や従来のプロトコルを介して伝播する多態性ウイルスである Emotet がフィッシングメールによって配信された後、このウイルスは組織の中核サービスを停止させました。このウイルスは、攻撃者が制御するコマンドアンドコントロール (C2) インフラストラクチャからの定期的なアップデートによってウイルス対策ソリューションによる検出を回避し、会社のシステムを通じて拡散し、ネットワークの停止を引き起こし、ほぼ 1 週間にわたって重要なサービスを停止しました。」

Microsoft によると、Fabrikam 氏は、従業員がフィッシングメールを開いてから 8 日後に DART に電話をかけました。その時点までに、Emotet マルウェアにより、185 台の監視カメラ ネットワークを含む Fabrikam の IT 運用全体が停止しました。

専門家は、ブルー スクリーンが原因で PC が過熱、フリーズ、再起動する一方、Emotet がすべての帯域幅を消費しているためにインターネット接続がわずかに遅くなっているのを観察しました。

「最後のマシンがオーバーヒートしたとき、ファブリカムは問題が正式に制御不能になったことを認識しました。 「我々はこの出血を止めたいのです」と当局者は後に述べた」とDART事例報告書は述べている。

「組織にはサイバー攻撃を防ぐ広範なシステムがあると彼は聞かされていましたが、この新しいウイルスはすべてのファイアウォールとウイルス対策ソフトウェアをすり抜けました。さて、彼らはコンピューターが 1 つずつブルースクリーンになるのを見ながら、次に何をすればよいのか全く分かりませんでした。」

このマルウェアは、侵害された従業員のコンピュータを使用して分散型サービス拒否 (DDoS) を開始し、ネットワークを制圧しました。

「当局は、ウイルスが Fabrikam のすべてのシステム、さらには 185 台の監視カメラ ネットワークを脅かしていると発表しました」と DART の報告書は述べています。言う

「財務部門は外部の銀行取引を完了できず、パートナー組織は Fabrikam が管理するデータベースにアクセスできませんでした。それは混沌でした。

「ハッカーによる外部からのサイバー攻撃がシャットダウンの原因となったのか、それとも内部ウイルスに対処しているのかはわかりませんでした。ネットワーク アカウントにさえアクセスできれば助かったでしょう。

「Emotet はネットワークの帯域幅を消費し、ついにはそれを何かに使用することが実質的に不可能になりました。メールすら通じませんでした。」

Microsoft の専門家は、管理者権限で資産を隔離する資産管理とバッファー ゾーンを使用して、Emotet 感染を制御することに成功しました。ウイルス対策シグネチャをアップロードし、Defender Advanced Threat Protection、Azure Security Scan、Azure Advanced Threat Protection サービス、およびその他の Microsoft 専用マルウェア検出ツールの試用版ライセンスを展開した後、Emotet 感染を完全に削除しました。

さらに、オンサイトのリバース エンジニアが Microsoft System Center Configuration Manager を修復し、Fabrikam が正常な状態に戻ることができました。

Microsoft は、Office 365 Advanced Threat Protection (ATP) などの電子メール フィルタリング ツールを使用して Emotet マルウェアの伝播を検出して阻止することと、そのような攻撃を防ぐために多要素認証 (MFA) を使用することをユーザーに推奨しています。