NotPetya
NotPetya とは何ですか?
NotPetya2017 年 6 月にランサムウェアを装って登場した破壊的ワイパーで、改ざんされた M.E.Doc アップデートを通じて拡散し、ロシアの Sandworm に帰属される。
NotPetya(別名 ExPetr、Petya.A)は 2017 年 6 月 27 日に登場した、ランサムウェアを装う破壊的ワイパーです。初期侵入はウクライナの会計ソフト M.E.Doc のバックドア入りアップデート経由で、その後 EternalBlue、EternalRomance、Mimikatz 由来の認証情報窃取を用いて社内ネットワークを横展開しました。マスターブートレコードを上書きし、被害者が身代金を払ってもデータは復元できない設計でした。損害は 100 億ドルを超え、Maersk、Merck、FedEx-TNT、Saint-Gobain、多数のウクライナ政府機関を直撃しました。米国・英国・EU はこれをロシア GRU 第 74455 部隊(Sandworm)に帰属させ、史上最も破壊的なサイバー攻撃と位置付けています。
● 例
- 01
Maersk は NotPetya によりグローバル基盤が消去された後、10 日間で 45,000 台の PC と 4,000 台のサーバーを再構築する。
- 02
組織は M.E.Doc の悪意あるアップデートを、ベンダー署名済みハッシュとバイナリを照合して検出する。
● よくある質問
NotPetya とは何ですか?
2017 年 6 月にランサムウェアを装って登場した破壊的ワイパーで、改ざんされた M.E.Doc アップデートを通じて拡散し、ロシアの Sandworm に帰属される。 サイバーセキュリティの マルウェア カテゴリに属します。
NotPetya とはどういう意味ですか?
2017 年 6 月にランサムウェアを装って登場した破壊的ワイパーで、改ざんされた M.E.Doc アップデートを通じて拡散し、ロシアの Sandworm に帰属される。
NotPetya はどのように機能しますか?
NotPetya(別名 ExPetr、Petya.A)は 2017 年 6 月 27 日に登場した、ランサムウェアを装う破壊的ワイパーです。初期侵入はウクライナの会計ソフト M.E.Doc のバックドア入りアップデート経由で、その後 EternalBlue、EternalRomance、Mimikatz 由来の認証情報窃取を用いて社内ネットワークを横展開しました。マスターブートレコードを上書きし、被害者が身代金を払ってもデータは復元できない設計でした。損害は 100 億ドルを超え、Maersk、Merck、FedEx-TNT、Saint-Gobain、多数のウクライナ政府機関を直撃しました。米国・英国・EU はこれをロシア GRU 第 74455 部隊(Sandworm)に帰属させ、史上最も破壊的なサイバー攻撃と位置付けています。
NotPetya からどのように防御しますか?
NotPetya に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NotPetya の別名は何ですか?
一般的な別名: ExPetr, Petya.A, Nyetya。
● 関連用語
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- vulnerabilities№ 389
EternalBlue (CVE-2017-0144)
2017 年に発見された Microsoft SMBv1 のリモートコード実行脆弱性に対する NSA 開発のエクスプロイト。Shadow Brokers が流出させ、WannaCry や NotPetya に利用された。
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
● 関連項目
- № 1027Shadow Brokers リーク
- № 966Sandworm Team