C
月内に
Babukランサムウェアのフレームワークをベースにした「EndPoint (Midnight)」ランサムウェアの分析レポートです
📌 一言でいうと
Babukランサムウェアのフレームワークをベースにした「EndPoint (Midnight)」ランサムウェアの分析レポートです。WindowsだけでなくESXiやNAS環境も標的とし、データの暗号化と流出を組み合わせた二重脅迫(Double Extortion)を行います。バックアップサービスの停止やシャドウコピーの削除を行い、ChaCha20とRSA暗号を用いてファイルを暗号化します。
🔍該当判定
- Windows PCやサーバーを社内で利用している
- VMware ESXi(仮想化基盤)を導入・運用している
- 社内でNAS(ネットワークHDD)を利用し、共有フォルダを運用している
- Veeam, Sophos, Acronisなどのバックアップ・セキュリティソフトを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 定期的なオフラインバックアップの実施と検証。 2. 不審なメールの添付ファイルやリンクの開封禁止。 3. ネットワーク共有フォルダのアクセス権限の最小化。 4. EDR/アンチウイルスソフトの最新状態への維持。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】EndPoint (Midnight) ランサムウェアの分析情報について
お疲れさまです。EndPoint (Midnight) ランサムウェアに関する情報共有です。
■ 概要
Babukベースのランサムウェアで、Windows/ESXi/NASを標的とします。vssadminによるシャドウコピー削除や、Veeam/Sophos等のバックアップ・セキュリティサービスの強制停止を行い、ChaCha20/RSAでファイルを暗号化します。一部の分析では北朝鮮系アクターとの関連性が示唆されています。
■ 影響範囲
- Windows OS
- VMware ESXi
- NAS環境
■ 対応手順
1. バックアップデータの不変性(Immutability)の確保およびオフライン保管の徹底。
2. ネットワーク共有フォルダへの不必要な書き込み権限の制限。
3. Mutex 'Mutexisfunnylocal' 等の挙動を検知できるようEDR設定を確認。
■ 参考情報
- asec_ko 分析レポート
対応優先度: 中
対応期限: 随時
お疲れさまです。EndPoint (Midnight) ランサムウェアに関する情報共有です。
■ 概要
Babukベースのランサムウェアで、Windows/ESXi/NASを標的とします。vssadminによるシャドウコピー削除や、Veeam/Sophos等のバックアップ・セキュリティサービスの強制停止を行い、ChaCha20/RSAでファイルを暗号化します。一部の分析では北朝鮮系アクターとの関連性が示唆されています。
■ 影響範囲
- Windows OS
- VMware ESXi
- NAS環境
■ 対応手順
1. バックアップデータの不変性(Immutability)の確保およびオフライン保管の徹底。
2. ネットワーク共有フォルダへの不必要な書き込み権限の制限。
3. Mutex 'Mutexisfunnylocal' 等の挙動を検知できるようEDR設定を確認。
■ 参考情報
- asec_ko 分析レポート
対応優先度: 中
対応期限: 随時
Subject: [Intel] Analysis of EndPoint (Midnight) Ransomware
Dear Team,
We are sharing technical intelligence regarding the EndPoint (Midnight) ransomware.
■ Overview
EndPoint is a Babuk-based ransomware targeting Windows, ESXi, and NAS environments. It employs double extortion and ensures recovery is difficult by deleting volume shadow copies (vssadmin) and terminating backup/security services such as Veeam, Sophos, and Acronis. Some indicators suggest potential links to North Korean actors.
■ Scope
- Windows OS
- VMware ESXi
- NAS environments
■ Recommended Actions
1. Ensure backup immutability and maintain offline backups.
2. Restrict write permissions on network shared folders to the minimum necessary.
3. Monitor for the mutex 'Mutexisfunnylocal' and unauthorized vssadmin execution via EDR.
■ Reference
- asec_ko Analysis Report
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing technical intelligence regarding the EndPoint (Midnight) ransomware.
■ Overview
EndPoint is a Babuk-based ransomware targeting Windows, ESXi, and NAS environments. It employs double extortion and ensures recovery is difficult by deleting volume shadow copies (vssadmin) and terminating backup/security services such as Veeam, Sophos, and Acronis. Some indicators suggest potential links to North Korean actors.
■ Scope
- Windows OS
- VMware ESXi
- NAS environments
■ Recommended Actions
1. Ensure backup immutability and maintain offline backups.
2. Restrict write permissions on network shared folders to the minimum necessary.
3. Monitor for the mutex 'Mutexisfunnylocal' and unauthorized vssadmin execution via EDR.
■ Reference
- asec_ko Analysis Report
Priority: Medium
Deadline: Ongoing