Free REvil ransomware master decrypter released for past victims
2021/09/16 BleepingComputer — ランサムウェア REvil 用のマスター復号キーが無料で公開され、このギャングが姿を消す前に暗号化された、すべての被害者のデータが復元できるようになった。REvil マスター復号キーは、サイバーセキュリティ企業の Bitdefender が、信頼できる法執行機関と共同で作成したものだ。
Bitdefender は、マスター復号キーをの入手経路および、関係する法執行機関については、その詳細を明かすことはなかったが、7月13日以前に暗号化された全ての REvil 被害者にとって効果があると、BleepingComputer に述べている。
Bitdefender の Director of Threat Research and Reporting である Bogdan Botezatu は、「当社のブログ記事にあるように、当社は信頼できる法執行機関のパートナーからキーを受け取った。調査が進展/終了すれば、承認が得られるはずなので、さらなる詳細が提供されるだろう。REvil ランサムウェアの被害者は、Bitdefender からマスター複合キーをダウンロードして (説明書)、コンピュータ全体、あるいは、特定のフォルダの、復号化が可能になる」と述べている。
BleepingComputer でも、復号キーをテストするために、今年の初めの攻撃で使われた、REvil のサンプルで仮想マシンを暗号化してみた。そして、ファイルの暗号化が完了した後に、Bitdefender の複合キーを用いて、簡単にファイルを復元することができた。
法執行機関が REvil サーバーを侵害した可能性が高い
Sodinokibi として知られる REvil ランサムウェアの活動は、GandCrab として知られる過去のランサムウェア・グループの、リブランドもしくは後継者だと考えられている。2019年に立ち上げられた REvil は、JBS/Coop/Travelex/Grupo Fleury などの有名企業に対して、数多くの攻撃を行ってきた。
そして、Kaseya のゼロデイ脆弱性を利用した 7月2日の大規模な攻撃で、このランサムウェア・ギャングは、世界中の 60のマネージド・サービス・プロバイダー (MSP) と 1,500以上のユーザー企業を暗号化した。それを機に、国際的な法執行機関による厳しい監視と、ロシアと米国の政治的緊張の高まりに直面したことで、7月13日に突然 REvil は活動を停止して姿を消した。
REvil がシャットダウンされている間に、不思議なことに被害者である Kaseya はマスター復号キーを受け取り、また、MSPとユーザー企業も無料でファイルを回復できるようになった。Bitdefender は、REvil により 7月13日以前に暗号化された被害者は、この復号キーを使用できると述べていることから、このランサムウェアの消滅は、法執行機関の調査と関連していると考えてよいだろう。また、Kaseya が顧客用の REvil マスター復号キーを入手したことも、同じ捜査に関連していると思われる。
9月に入ってから、REvil は攻撃を再開しているが、このマスター復号キーのリリースは、ランサムウェア・ギャングが消滅する前に、支払いを選択しなかった被害者にとって、大きな恩恵となる。
REvil と Kaseya と複合キーの話は、7月27日の「Kaseya はランサム支払いを否定:完全な復号化ツールを提供と言うが?」があって、9月7日の「REvil ランサムウェアの謎:だれがオンラインに戻したのか?」が、最後のトピックでした。それと並行して、「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」という話もあり、「REvil ランサムウェア完全復活:フルパワーで攻撃を再開」ということで、誰が本物の REvil なのか、分からない状況となっています。でも、まぁ、複合キーの出どころが分かって、ひとまず決着ですね。
IoT OT Security News 