REvil の TOR サイトが動き出した:新たなランサムウェア運用が始まるのか?

Russia,REvil’s TOR sites come alive to redirect to new ransomware operation

2022/04/20 BleepingComputer — REvil ランサムウェアのサーバーが、数ヶ月ぶりに TOR ネットワーク内で復活し、2021年12月中旬から開始されたと思われる、新しいオペレーションへとリダイレクトされている。REvil に関連する新しいオペレーションの背後にいる人物は不明だが、この新しいリークサイトには、過去の REvil 攻撃での被害者を示す大規模なカタログと、新しい2件の攻撃の被害者がリストアップされている。

新たな RaaS の登場

そして数日前に、セキュリティ研究者である pancak3 と Soufiane Tahiri は、ロシア語圏に焦点を当てたフォーラム・マーケットプレイスである RuTOR で、Revil の新しいリークサイトが紹介されていることに気づいた。

この新しいサイトは、別のドメインでホストされているが、REvil がアクティブなときに使用していた元のサイトにつながることを、今日になって BleepingComputer が確認し、2 人の研究者はリダイレクトの様子をキャプチャした。このリークサイトでは、アフィリエイトの条件の詳細が提供されており、改良版の REvil ランサムウェアを入手し、身代金を回収するアフィリエイトには 80/20 での分配が与えられるとされている。

RaaS details on the new REvil-related leak site
source: BleepingComputer

このサイトには、26ページにわたって被害者が掲載されているが、その大半は古い REvil 攻撃によるものであり、最後の2つだけが新しいオペレーションに関連しているように見える。そして、そのうちの1つは Oil India である。セキュリティ研究者の MalwareHunterTeam は、14人のギャングとされるメンバーがロシアで逮捕された数週間後の2022年1月に、REvil に関連する新しいランサムウェア・ギャングの活動に、2021年12月ころに気づいたと述べている。

New ransomware gang related to REvil gang
source: MalwareHunterTeam

その後に研究者たちは、現在の REvil 関連のリークサイトが 2022年4月5日〜4月10日にアップされてはいたがコンテンツはなく、その1週間後くらいからポツポツとアップされ始めたことを観測している。MalwareHunterTeam による別の観測結果は、RSS フィードのソースが、今は亡きランサムウェア集団 Nefilim が使用してきた、文字列Corp Leaks を示していることだ [12]。

Corp Leaks string in RSS source of new REvil-related leak site
source: BleepingComputer

ブログと決済サイトは、異なるサーバで稼働している。前者を見た BleepingComputer は、新しいランサムウェア運用のブログが、TeslaCrypt ランサムウェア・ギャングがファイル・マーカーとして使用していた、コンピュータ用語である DEADBEEF というクッキーを投下していることに気づいた。

DEADBEEF cookie on new REvil-related leak site
source: BleepingComputer

まず、新しい REvil ベースのペイロード・サンプルを分析する必要がある。また、新しいリークサイトの背後にいる人物が、現時点では名前や所属を主張していないため、ランサムウェア脅威アクターとの接続は、現時点では検出不可能である。2021年11月に、REvil が FBI の管理下にあったとき、そのデータ流出および支払のサイトには、REvil is bad というタイトルのページとログインフォームが表示されていた。

source: Lawrence Abrams

これは、法執行機関以外の誰かが、.Onionサイトの変更を可能にする TOR 秘密鍵にアクセスできることを示唆しており、そのリダイレクトの謎は深まるばかりである。
ロシア語圏で人気のハッカーフォーラムは、この新しい活動が詐欺なのか、ハニーポットなのか、あるいは、評判を失った古い REvil ビジネスの正当な継続であり、それを取り戻そうとしているのか、といった様々な推測で溢れている。

REvil の凋落

REvil ランサムウェアは、ransomware-as-a-service (RaaS) モデルを初めて確立した GandCrab の後継として、2019年4月から活動を継続してきた。2019年8月にはテキサス州の地方行政機関などを襲い、当時の最高額となる $2.5 million の身代金を要求した。

このグループは、約 1,500の企業に影響を与えた、Kaseya サプライチェーン攻撃の当事者でもあるが、昨年に世界中の法執行機関が、このギャングを倒すために協力体制を強化したことで、破滅へとつながった。

Kaseya を攻撃した直後に、法執行機関にサーバー侵入を許したことを知らずに、彼らは2カ月間の休暇をとっていた。そして、REvil が活動を再開したとき、彼らは侵害に気づかず、バックアップからシステムを復元した。2022年1月中旬に、ロシア当局は REvil の全メンバーを特定し、14人を逮捕した後に、REvil を停止したと発表した。

ロシアの連邦保安局は、「FSB とロシア内務省の共同行動の結果、この組織化された犯罪コミュニティは存在しなくなり、犯罪目的で使用される情報インフラは無力化された」と述べている。ロシア連邦の Deputy Secretary of the Security Council である Oleg Khramov は、「ロシアの法執行機関が、Puzyrevskyという名前を調査し、また、グループの主要ハッカーの痕跡として米国から送信されたIPアドレスを調査し、REvil とつなげた」と、RossiyskayaGazeta とのインタビューで述べている。

現時点において米国当局は、ロシアがウクライナに侵入した結果として、サイバー・セキュリティの脅威において、特に重要なインフラ攻撃の脅威について、ロシアとの協力を停止している。

潰されたはずの REvil が生き返るかもしれないという、とても不吉な話ですね。2022年1月14日の「ロシア当局が REvil ランサムウェア・ギャングを壊滅させた」にあるように、このランサムウェア・ギャングを壊滅させたのはロシア当局です。そして、2月24日にはウクライナ侵攻が始まっています。この間に、さまざまなやり取りや駆け引きがあったと想像できますが、その材料として REvil があって、西側との関係がこじれるにつれて、REvil への監視が緩められた、というのが最悪のシナリオです。関連する記事としては、1月18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」と、1月21日の「ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?」があります。よろしければ、Revil で検索も、ご利用ください。

%d bloggers like this: