REvil ランサムウェア完全復活：フルパワーで攻撃を再開

REvil ransomware is back in full attack mode and leaking data

2021/09/11 BleepingComputer — REvil ランサムウェア・グループがが完全に復活し、新たな被害者を攻撃し、盗んだファイルをデータ漏洩サイトで公開している。2019年以降、Sodinokibi こと REvil ランサムウェア・グループは、世界中の組織に対して攻撃を行い、盗んだファイルの流出を止める複合キーと引き換えに、$1 million の身代金を要求してきた。その活動期間において、JBS／Coop／Travele／GSMLaw／Kenneth Cole／Grupo Fleury などの、有名企業に対して数多くの攻撃を仕掛けてきた。

REvil の失踪

REvil は 7月2日に、Kaseya VSA リモート管理プラットフォームのゼロデイ脆弱性を利用し、60社のマネージド・サービス・プロバイダーと、1,500社以上のユーザー企業を暗号化するという大規模な攻撃を行った後に、そのインフラをシャットダウンして完全に姿を消した。

その後 REvil は、すべての Kaseya 被害者に適応できるユニバーサル復号キーに対して $50 million、MSP ごとの復号キーに対して $5 million、そして影響を受けたユーザー企業の複合キーに対して $44,999 の身代金を要求した。この攻撃は、世界中の非常に広範な影響をおよぼし、国際的な法執行機関が、このグループに全面的に注目することになった。

逮捕のプレッシャーを感じたのか、REvil グループは 2021年7月13日に突然活動を停止し、多くの被害者はファイルを復号化する手段を失い窮地に陥った。REvil に関する最後の情報は、Kaseya が被害者のファイルを復号するために使用できる、ユニバーサル復号キーを無償で受け取ったという話だ。どのようにして、Kaseyaが復号キーを受け取ったのかは不明だが、「信頼できるサードパーティ」からのものだと述べている。

新しい攻撃体制での復活

REvil が閉鎖した後、研究者や法執行機関は、がある時点で新たなランサムウェアとしてリブランド化すると考えていた。しかし、驚いたことに、今週に REvil ランサムウェア・ギャングは、同じ名前で復活した。消息を絶ってから約２カ月が経過した 9月7日、Tor における支払／交渉サイトとデータ漏洩サイトが、突如としてパワー ON となり、アクセスできるようになったのだ。

その翌日には、Tor の支払いサイトにログインし、ランサムウェア・ギャングと交渉することが可能になった。以前の被害者に割り当てられたタイマーはリセットされ、身代金の要求は７月にランサムウェア・ギャングが停止したときの状態になっていたようだ。

新しい REvil ランサムウェアのサンプルを、誰かが 9月4日に VirusTotal にアップロードしてから、9月9日に至るまで、新たな攻撃の証拠は出てこなかった。しかし、今日になって、このランサムウェア・ギャングが、盗んだデータのスクリーンショットをデータリークサイトで、新たな被害者に対して公開したことで、新たな攻撃の証拠が確認されることになった。

以前に、REvil の代表者は Unknown または UNKN と呼ばれる脅威アクターの名前で、ハッキングフォーラムに頻繁に投稿し、新たなアフィリエイトを募集し、ランサムウェアの運用に関するニュース配信などを行っていた。このランサムウェアの活動が再開された後の 9月9日に、REvil と名乗る新たな代表者がハッキングフォーラムに投稿を始め、「Unknown が逮捕され、サーバーが危険にさらされたため、一時的に閉鎖した」と主張している。

この主張によると、Kaseya のユニバーサル複合キーは、法執行機関が REvil のサーバにアクセスして入手したものとなる。しかし、BleepingComputer は、REvil の失踪が法執行機関をも驚かせたと、多数の情報筋から聞いている。セキュリティ研究者と思われる人物と、REvil との間で交わされたチャットでは、REvil のオペレーターは単に休暇を取っただけだと主張しており、異なるストーリーが描かれている。

消えた本当の理由は闇の中であり、なぜ Kaseya が復号キーを入手できたのかを知る由もないが、最も重要なことは、REvil が復活して、世界中の企業をターゲットにし始めたと認識することである。彼らの熟練したアフェリエイトと、狡猾な攻撃を実行する能力を理解し、すべてのネットワーク管理者とセキュリティ専門家は、その戦術と技術に精通しなければならない。

Kaseya 以降の Revil の動きを、時系列で並べると、「REvil ランサムウェアが姿をくらましたが理由は不明」、「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」、「REvil ランサムウェアの謎：だれがオンラインに戻したのか？」となります。一時は、BlackMatter にリブランドかと思いましたが、そのままの名前で復活のようです。とにかく要注意です。