REvil ランサムウェアの Tor サイトがハイジャックされた:ついに終焉を迎えるのか?

REvil ransomware shuts down again after Tor sites were hijacked

2021/10/17 BleepingComputer — REvil ランサムウェアは、自身の Tor ペイメント・ポータルとデータリーク・ブログが何者かに乗っ取られた後に、再び活動を停止したようだ。REvil に所属する脅威アクターが、XSS ハッキング・フォーラムに投稿したところ、このギャングのドメインを何者かが乗っ取ったとのことであり、Tor サイトは本日未明にオフラインになった。

このスレッドは、Recorded Future の Dmitry Smilyanets が最初に発見したものであり、未知の人物が REvil の Tor サイトと同じ秘密鍵を持つ、Tor の隠しサービス (オニオンドメイン) をハイジャックし、サイトのバックアップを確保している可能性が高いと述べている。

この 0_neday と呼ばれる脅威アクターは、「本日 17.10 (モスクワ時間 12:00) に、誰かが我々と同じ鍵で、ランディングとブログの隠しサービスを持ち出したことで、私の恐れは確認された。この第三者は、オニオンサービスの鍵を使ったバックアップを持っている。サーバーに危険な兆候は見られないが、業務を停止する予定だ」と、ハッキング・フォーラムに投稿した。

そして、この脅威アクターは、Tox 経由でキャンペーンの復号鍵を得るために、自分に連絡するようアフィリエイトに伝えた。つまり、アフィリエイトが被害者を恐喝し続け、身代金が支払われた場合に復号キーを提供する必要があるためだと思われる。

Tor の隠しサービス (.onionドメイン) を開始するには、サービスを初期化するための秘密鍵と公開鍵のペアを生成する必要がある。秘密鍵はセキュリティで保護され、信頼できる管理者のみがアクセスできるようにしなければならない。この鍵にアクセスできる人は、自分のサーバーで同じ .onion サービスを立ち上げるために、この鍵を使用できるからだ。第三者がドメインを乗っ取ることができたということは、彼らもまた、隠されたサービスの秘密鍵にアクセスできることの証明である。

今日の夕方に、再び 0_neday がハッキング・フォーラムのトピックに投稿した。そして、今度は自分たちのサーバーが侵害されが、脅威アクターを標的にしている、誰かがいると述べている。誰が彼らのサーバーを侵害したのかは、現時点では不明である。

Bitdefender と法執行機関が、REvil のマスター復号キーにアクセスし、無料の復号キーをリリースしたという現実がある。そのことから、FBI などの法執行機関がサーバーを再起動してからアクセスしたと、脅威アクターの中には考える者もいる。
Unknown に何が起こったのかは、誰にも分からないため、脅威アクターが運営のコントロールを取り戻そうとしている可能性もある。

REvil は永久に閉鎖される可能性が高い

REvil が Kaseya MSP プラットフォームのゼロデイ脆弱性を利用して、複数の企業に大規模な攻撃を行った後に、REvil の活動は突然停止し、彼らの表向きの代表者である Unknown は姿を消した。

Unknown が戻ってこなかったことで、残された REvil の運営者たちはバックアップを利用して、9月に再び Web サイトを立ち上げた。それ以来、このランサムウェア・ギャングは、ユーザーの獲得に苦戦しており、他の脅威アクターを誘うために、アフィリエイトの報酬を 90% に引き上げることもあった。今回の不祥事で、このランサムウェア・ギャングの運営は終わりを迎えそうだ。しかし、ランサムウェアに関しては、良いことが永遠に続くわけではないため、近いうちに新たな活動として再構築されることだろう。

REvil ですが、7月に「REvil ランサムウェアが姿をくらましたが理由は不明」という記事をポストしたように、なんらかのトラブルを抱えている感じがしていました。その後、「REvil ランサムウェアの謎:だれがオンラインに戻したのか?」と、「REvil ランサムウェア完全復活:フルパワーで攻撃を再開」にあるように、復活したかに見えましたが、今度は乗っ取りが生じたようですね。まだまだ、続報が出てきそうな感じです。

%d bloggers like this: