WannaCry: the ransomware worm that didn’t arrive on a phishing hook Naked Security
Sophos的には「SophosLabs’ investigation indicates the first infections Friday appeared in India, Hong Kong and the Philippines. The findings of south-east Asian origin are in sync with that of other research organizations, such as Nominum」らしい。東南アジアでは無いかとの見立て。ただし、KILLスイッチ投入後の話と思われる。
WannaCryランサムウェア: ベータ版から2.0への進化の過程 - フォーティネット
フォーティネットはKDMSでは無いかとの見立て。
セキュリティ研究センターブログ: マルウェア解析奮闘記 WannaCryの解析
「WannaCryに含まれるMS17-010のスキャンコードは、以下のMetasploitのMS17-010のスキャンコードと同様・・・WannaCryによって感染した端末から、MS17-010脆弱性をつかれた端末では、もしWannaCryがウィルス対策に駆除されても、DoublePulsarのバックドアがオープンしていると思われる点にもご注意頂きたいと思います。このDoublePulsarのバックドアを悪用して、更なるリモートからのコードが実行される恐れが考えられます」らしい。確かに。
ProofpointのAdylkuzz C&Cは気になる
俺的メモ
- Adylkuzz Cryptocurrency Mining Malware Spreading for Weeks Via EternalBlue/DoublePulsar | Proofpoint
- WannaCry Post-Outbreak Analysis | Forcepoint
- BAE Systems Threat Research Blog: WanaCrypt0r Ransomworm
- WannaCry update: The worst ransomware outbreak in history
- WannaCry Shares Code with Lazarus APT Samples | Threatpost | The first stop for security news
- WannaCry? Do your own data analysis. - SANS Internet Storm Center
- What you need to know about the WannaCry Ransomware | Symantec Connect Community
- WannaCryptor, aka WannaCry, wasn’t the first to use EternalBlue: Miners misused it days after Shadow Brokers leak