REvil の復活は本物:新たなマルウェア・サンプルから確認された継承の証拠とは?

REvil ransomware returns: New malware sample confirms gang is back

2022/04/30 BleepingComputer — ロシアと米国の緊張が高まる中、ランサムウェア REvil が、新たなインフラの構築と、暗号化方式の変更により、より標的を絞った攻撃を目論みながら再登場した。2021年10月に法的執行機関は、REvil ランサムウェア・ギャングの Tor サーバーを乗っ取り、その後に、ロシア当局によりメンバーが逮捕され、活動を停止した。しかし、ウクライナ侵攻の後に、米国は REvil ギャングに関する交渉プロセスから撤退し、通信手段を閉じたと、ロシア側は表明している。

REvil の Tor サイトが復活

それから間もなくして、古い REvil の Tor インフラが再び稼働し始めたが、古い Web サイトを表示するのではなく、無名のランサムウェアの URL へとリダイレクトするものに変わっていた。これらのサイトは、以前の REvil Webサイトとは似ても似つかないものであり、古いインフラが新しいサイトへとリダイレクトしているという事実は、REvil が再稼働している可能性を示している。さらに、これらの新しいサイトには、新しい被害者とリストにまじり、以前の REvil 攻撃で盗まれたデータが存在していた。

これらの出来事は、新たな無名の活動として REvil がリブランド化されたことを強く示しているが、2021年11月ころの Tor サイトには、”REvil is bad” というメッセージが表示されていたこともあった。つまり、他の脅威行為者もしくは法執行機関が、REvil の Tor サイトにアクセスしていたことを意味し、その Web サイトがギャングの復活を示す強力な証拠とは言えない。

REvil's tor sites are defaced with an anti-REvil message
REvil’s tor sites are defaced with an anti-REvil message
Source: BleepingComputer

REvil 復活の有無を確実に知る唯一の方法は、ランサムウェア暗号化ソフトのサンプルを見つけ出し、それを解析し、パッチの適用や、ソースコードからコンパイルなどを判断することだ。今週に、AVAST の研究者である Jakub Kroustek が、新しいランサムウェアの暗号化ファイルのサンプルを発見し、この新しいオペレーションが REvil と関連していることが確認された。

ランサムウェアのサンプルで復帰が確認される

いくつかのランサムウェアが、REvil の暗号化ツールを使用しているが、その全てはREvil のソースコードに直接アクセスするのではなく、パッチ適用した実行ファイルを使用していた。しかし、BleepingComputer は、複数のセキュリティ研究者やマルウェア・アナリストから、この新しいオペレーションで使用されている REvil のサンプルは、ソースコードからコンパイルされ、新しい変更点を含んでいると確認している。セキュリティ研究者の R3MRUM は、REvil のサンプルは Ver 1.0 に変更されているが、REvil が閉鎖する前の 最後 Ver 2.08 を引き継いでいるとツイートしている。

Version change in new REvil encryptor
Version change in new REvil encryptor

R3MRUM は、「暗号化機能がファイルを暗号化しない理由が説明できないが、ソースコードからコンパイルされたものと考えている。私の評価は、脅威の行為者がソースコードを持っているということだ。LV Ransomware のようなパッチは行っていない」と語った。

Advanced Intel の CEO であるVitali Kremez も、「この週末に REvil サンプルをリバース・エンジニアリングした結果、このソースコードから 4月26日にコンパイルされ、パッチが適用されていないことを確認した」と述べている。彼は、「新しい REvil サンプルには、新しい設定フィールド [accs] が含まれており、標的とする特定の被害者の認証情報が、このフィールドに含まれている」と述べている。Kremez は、「accs 設定オプションは、指定されたアカウントとWindowsドメインを含まない、他のデバイスの暗号化を防ぐために使用され、高度な標的型攻撃を可能にする」と考えている。

新しい REvil サンプルの設定では、[accs] オプションに加えて、キャンペーンやアフィリエイトの識別子として使用される SUB と PID のオプションが、「3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4」といった長い GUID タイプの値に変更されている。BleepingComputer も、このランサムウェア・サンプルをテストしてみた。結果として、暗号化は行われなかったが、REvil のオリジナル・ランサムノートが作成された。

REvil ransom note
REvil ransom note

さらに、旧 REvil サイトと、リブランディングされたオペレーションの間には、いくつかの違いがあるが、被害者がサイトにログインすると、ほぼオリジナルと同じで、脅威アクターは Sodinokibi だと主張している。

New ransomware operation claiming to be Sodinokibi
New ransomware operation claiming to be Sodinokibi
Source: BleepingComputer

Unknown と呼ばれる REvil の代表者は、依然として行方不明であるが、脅威情報リサーチャーの FellowSecurity は、「旧 REvil チームに属していた、コア開発者の1人がランサムウェアを再スタートさせたと述べている。もし、コア開発者であるなら、REvil の完全なソースコードと、旧サイトの Tor 秘密鍵にアクセスできる可能性もあるはずだ。

いまは、米国とロシアの関係が悪化しているため、REvil が新たなオペレーター下でリブランドしたとしても、驚くべきことではない。しかし、ランサムウェアがリブランドするのは、身代金の支払いを阻止しようとする法執行や制裁から逃れるためである。したがって、他の多くのランサムウェアに見られるような、検出回避のためのリブランドを行うのではなく、このように REvil の復帰が公にされるのは異例なことである。

REvil 復活を推測する記事としては、4月20日の「REvil の TOR サイトが動き出した:新たなランサムウェア運用が始まるのか?」があり、ロシア語圏のフォーラム・マーケットプレイスである RuTOR で、Revil の新しいリーク・サイトが紹介されたと記されていました。そして、今回の記事では、「この週末に REvil サンプルをリバース・エンジニアリングした結果、このソースコードから 4月26日にコンパイルされ、パッチが適用されていないことを確認した」と、その復活が裏付けられています。REvil 崩壊については、いろいろな憶測が飛び交いましたが、そのあたりに関しては、1月18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」と、1月21日の「ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?」を、ご参照ください。

%d bloggers like this: