WannaCryのキルスイッチに見えた2次攻撃者の影 | MBSD Blog2017.06.07 コンサルティング事業部 サイバーインテリジェンスグループ 吉川 孝志 弊社では、前回のブログ記事において、一連のWannaCry攻撃の中で利用されたワーム型マルウェアのリソースファイルを改変した亜種の出現可能性について注意喚起を行っていましたが、今回、それに該当する亜種を確認しました。 (WannaCryは前回のブログで言及した通り、ワーム機能とランサムウェアの機能が分離していることから、ワーム機能を持つバイナリをドロッパー①、ランサムウェアの機能を持つバイナリをドロッパー②として以降記載します) 今回確認された亜種は以下の点がこれまでのWannaCryと異なります。 ①キルスイッチが無効化されている ②ランサムウェアの機能が欠如している(暗号化に関わる挙動が動作しない) そして、以下の点がこれまでと同じです。 ①SMBの脆弱性を利用して横展開の拡散を行う(ワーム活動
