ランサムウェアグループ「REvil」、活動再開か--Kaseya攻撃後に一時停止との報道

Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部

2021-09-08 14:40

 サービスとしてのランサムウェア(RaaS)「REvil」の背後にいるグループが活動を再開したようだ。このグループは、ITシステム管理サービスKaseyaに対して米国時間7月4日に大々的な攻撃を仕掛け、多数の被害者を生み出した後、活動を停止したと考えられていた。

Happy Blog
提供:Brett Callow

 セキュリティ研究者らによると、大規模なランサム攻撃を展開していた同グループが用いていたダークウェブ内の支払い用サイトや、同グループの公開サイト、「ヘルプデスク」用チャット、交渉用ポータルなどのすべてが、Kaseyaへの攻撃に対する世界的な非難と米立法府からの強硬な発言があった後の7月13日にオフラインになったという。

 REvilの活動停止の原因として、Kaseya攻撃後に行われたJoe Biden米大統領とロシアのVladmir Putin大統領との電話による直接会談を挙げる意見が多い。Biden大統領はこの会談の中で、ロシア国内からのランサムウェア攻撃についてPutin大統領に対応を迫ったとされている。

 会談があったにもかかわらず、米国とロシアの当局は双方とも、REveilの7月の活動停止への関与を否定していた。

 しかし、多くのセキュリティ研究者らは9月7日にソーシャルメディアで、「Happy Blog」をはじめとする同グループ関連のサイトが再開されていると伝えている。またBleeping Computerは、Happy Blogの最新エントリーが、7月8日に攻撃を実施した被害者に向けたものだと報じている

 Recorded FutureEmsisoftのセキュリティ研究者はいずれも、同グループのインフラの多くがオンライン状態に復帰したことを確認したという。

 ランサムウェアの専門家であるAllan Liska氏は米ZDNetに対し、ほとんどの人々はREvilが活動を再開するものの、別の名前とランサムウェアの新たな亜種を用いるだろうと予想していたと述べた。

 そして同氏は、「彼らは、自らに対する注目が一時的に高まったため、法執行機関の動きが落ち着くのを待つ必要があった。これが本当に同一グループであり、同じインフラを使っているのであれば、(彼らにとっての)問題は法執行機関や研究者から実際に距離を置かなかったという点で、(ロシアを除いた)文字通り世界中のすべての法執行機関から標的にされるという状況に自らを追い込んだところにある」と説明した。

 Liska氏はまた、「『VirusTotal』や『MalwareBazaar』といった一般的なマルウェアコードのリポジトリーをすべてチェックしたが、新たなサンプルはまだ投稿されていないという点も付け加えておきたい。このため、彼らが新たなランサムウェアを用いた攻撃を開始していたとしても、その数はさほど多くないということになる」と述べた。

 セキュリティ企業BlackFogが発表した8月のランサムウェア攻撃に関するレポートによると、同社が8月に追跡した攻撃の23%以上をREvilが占めていた。その数は同社が追跡しているマルウェアグループの中で最も多かったという。

 Emsisoftの脅威アナリストBrett Callow氏によると、REvilは2021年に、米国を拠点とする組織360件以上を攻撃した。Ransomwhereのサイトでは、このグループがAcer、JBS、Quanta Computerなどへの攻撃で、2021年に1100万ドル以上(約12億円)の収益を得ていると指摘している。

 REvilが停止したことで、一部の被害者は困難な状況に陥った。ワシントン州シアトル市の元最高情報セキュリティ責任者(CISO)で、セキュリティ関連サービスを提供するCritical InsightのCISOを務めるMike Hamilton氏によると、Kaseyaに対する攻撃の被害に遭った後で身代金を支払い、REvilから復号鍵を受け取ったものの、データを復元できなかった企業もあるという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]