REvil ランサムウェアの謎:だれがオンラインに戻したのか?

REvil ransomware servers mysteriously come back online

2021/09/07 BleepingComputer — ランサムウェア REvil の、ダークウェブ・サーバーが、約2ヶ月ぶりに突然復活した。これがランサムウェア・ギャングの復帰を意味するのか、それとも法執行機関がサーバーをオンにしたのかは不明だ。7月2日に、Sodinokibi こと REvil ランサムウェア・ギャングは、Kaseya VSA リモート管理ソフトウェアのゼロデイ脆弱性を悪用し、約60社のマネージド・サービス・プロバイダー (MSP) と、1,500社以上のビジネス顧客を暗号化した。

その後に REvil は、各 MSP に対しては $5 million で、また、個々の企業に対しては $44,999 で、複合キーを売りつけようとした。また、すべての Kaseya 被害者を復号するためのマスターについては、$70 million を要求したが、すぐに $50 million に値下げした。この攻撃の後に、法執行機関やホワイトハウスは REvil への圧力を強め、ロシア政府が国内脅威アクターに対して行動を起こさないなら、米国自身が行動を起こすと警告した。

その直後に、REvil ランサムウェア・ギャングは姿を消し、彼らの Tor サーバーとインフラはすべて停止した。今日に至るまで、何が起こったのかは明らかではない、復旧を望むランサムウェアの被害者は交渉が止まってしまい、ファイルを復元することもできなかった。しかし、ミステリアスなことに、後に Kaseya はマスター復号キーを受け取り、それが信頼できるサードパーティからのものだと述べていた。ロシアの諜報機関が、脅威アクターから復号化キーを受け取り、FBI に渡したものと考えられている。

REvil のインフラが突然元に戻る

そして今日、Tor の支払/交渉サイトと、REvil の Tor Happy Blog データリーク・サイトの双方が、突然オンラインに戻った。REvil のデータリーク・サイトの内容を確認すると、最新の被害者の追加は 2021年7月8日であり、それは謎の失踪の僅か5日前のことである。そのデータリーク・サイトと機能しているが、Tor 交渉サイトは完全には稼働していないようだ。ログイン画面は表示されているが、被害者がサイトにログインすることはできない。また、このギャングの http://decoder.re/ は、現時点ではまだオフラインだ。REvil が活動を再開したのか、誤ってサーバーを再起動したのか、あるいは法執行機関の行動によるものなのかは、現時点では不明である。

久々の REvil 記事です。べつに懐かしくはありませんが、突然の消え方だったので、気になってはいました。そうしたら、突然のオンライン復帰とういわけです。このところ、Conti の BlayBook 流出とか、Babuk のソースコード・リークとか、この界隈がザワついています。BlackMatter にリブランドされるのか、Revil が復活するのか、引き続き注目してきたいと思います。

%d bloggers like this: