マイクロソフト：EmotetマルウェアがPCの過熱によりネットワーク全体をシャットダウン

マイクロソフトのサイバーセキュリティソリューショングループの検出および対応チーム（DART）は木曜日、クライアントのITネットワーク全体がEmotetマルウェアによるPCの過熱でダウンしたと発表しました。これは、従業員の一人がフィッシングメールの添付ファイルを開くように騙された後のことです。

このマルウェアは、管理者アカウントの認証情報を盗むことによってFabrikam（マイクロソフトがケーススタディで使用する偽名）のシステムに感染しました。

その後、同じネットワーク内の他のシステムに感染することで横移動を行いました。ウイルスは、WindowsデバイスのCPU使用率を最大にすることでコアサービスを凍結させました。

また読む - EmotetマルウェアはWi-Fiネットワークを通じて拡散する可能性があります

「私たちはDARTケースレポート002：完全運用停止を共有できることを嬉しく思います。レポート002では、ポリモーフィックマルウェアが組織のネットワーク全体に広がった実際のインシデント対応の取り組みを取り上げています」とマイクロソフトDARTの発表には書かれています。

「フィッシングメールがEmotetを配信した後、ネットワーク共有とレガシープロトコルを介して拡散するポリモーフィックウイルスが、組織のコアサービスをシャットダウンしました。このウイルスは、攻撃者が制御するコマンド＆コントロール（C2）インフラからの定期的な更新を通じてアンチウイルスソリューションによる検出を回避し、会社のシステムを通じて拡散し、ネットワークの停止を引き起こし、ほぼ1週間にわたり重要なサービスを停止させました。」

マイクロソフトによると、Fabrikamは従業員がフィッシングメールを開いてから8日後にDARTを呼びました。その時点で、FabrikamのIT業務全体が停止し、185台の監視カメラネットワークもEmotetマルウェアの影響を受けていました。

専門家は、PCが過熱し、フリーズし、ブルースクリーンのために再起動しているのを観察しました。一方、Emotetがすべての帯域幅を消費しているため、インターネット接続はわずかに遅くなっていました。

「最後のマシンが過熱したとき、Fabrikamは問題が公式に制御不能になったことを知りました。『この出血を止めたい』と、後にある公式が言いました」とDARTのケーススタディレポートには記されています。

「彼は、組織がサイバー攻撃を防ぐための広範なシステムを持っていると聞いていましたが、この新しいウイルスは彼らのすべてのファイアウォールとアンチウイルスソフトウェアを回避しました。今、彼らはコンピュータが一つずつブルースクリーンになるのを見ながら、次に何をすべきか全く分からなくなっていました。」

このマルウェアは、従業員の侵害されたコンピュータを使用して分散型サービス拒否（DDoS）攻撃を実行し、ネットワークを圧倒しました。

「公式は、ウイルスがFabrikamのすべてのシステム、さらには185台の監視カメラネットワークを脅かしていると発表しました」とDARTのレポートは述べています。

「財務部門は外部の銀行取引を完了できず、パートナー組織はFabrikamが管理するデータベースにアクセスできませんでした。混乱でした。

「彼らは、ハッカーからの外部サイバー攻撃がシャットダウンを引き起こしたのか、それとも内部のウイルスに対処しているのかを判断できませんでした。ネットワークアカウントにアクセスできたら助けになったでしょう。

「Emotetはネットワークの帯域幅を消費し、何かを使用することがほぼ不可能になりました。メールさえも通過できませんでした。」

マイクロソフトの専門家は、管理者権限を持つ資産を隔離する資産管理とバッファゾーンを使用してEmotet感染を制御しました。彼らは、アンチウイルスシグネチャをアップロードし、Defender Advanced Threat Protection、Azure Security Scan、Azure Advanced Threat Protectionサービス、その他のマイクロソフトの特別目的のマルウェア検出ツールの試用ライセンスを展開した後、Emotet感染を完全に除去しました。

さらに、現場のリバースエンジニアがMicrosoft System Center Configuration Managerを修理し、Fabrikamが再び立ち上がることを可能にしました。

マイクロソフトは、ユーザーに対して、Emotetマルウェアの拡散を検出して停止するためにOffice 365 Advanced Threat Protection（ATP）などのメールフィルタリングツールを使用すること、ならびにそのような攻撃を防ぐために多要素認証（MFA）を使用することを推奨しています。