ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

Kaseya(カセヤ)やTravelex(トラベックス)、JBSなどへのサイバー攻撃で悪名高いロシア関連のランサムウェア犯罪組織「REvil(レヴィル)」は、Tor(トーア)で公開していた支払いポータルとデータリークブログが乗っ取られたとした後、再び姿を消した。

REvilは2021年7月、Kaseyaを標的にした攻撃により数千の企業をランサムウェアに感染させた後、米国政府から激しく非難され、しばらく沈黙していたが、9月に突然復活。しかし、それからわずか数週間で再びサイトを閉鎖した。この閉鎖のニュースは最初、REvilに所属していることが知られている脅威アクターが、ある有名な犯罪フォーラムに投稿したもので、サイバーセキュリティ企業Recorded Future(レコーデッド・フューチャー)のDmitry Smilyanets(ミトリー・スミリヤネッツ)氏によって発見された。

この脅威アクターによる投稿では、REvilのTorサービスが乗っ取られ、おそらく以前バックアップされたと思われるグループの秘密鍵のコピーに置き換えられたと述べている。「サーバーが危険にさらされ、彼らは私を探していた」と、投稿には書かれている。「正確にいうと、彼らはtorrcファイル(Torサービスの設定に使われる)の中にあった私の隠れたサービスへのパスを削除し、自分たち自身のサービスを立ち上げ、私がそこへ行くように仕向けている。他の人にも確認したが、そうなってはいなかった。みんなの幸運を祈る。私は行くよ」。

REvilのTorサイトが乗っ取られたと思われる状況(記事掲載時)。( 画像クレジット:TechCrunch)

本稿執筆時点では、誰がREvilのサーバーを乗っ取ったのかは明らかになっていない。9月のWashington Post(ワシントン・ポスト)の報道によると、7月にKaseyaの攻撃で被害を受けた企業のために、FBIはREvilの暗号鍵を入手していたが、REvilが姿を消してしまったため、FBIが計画していたテイクダウンは実現しなかったという。また、長らくグループのスポークスマンを務めていた「Unkn(アンノウン)」と呼ばれる元グループメンバーが乗っ取った可能性を指摘する声もある。Unknは、9月にグループが再び姿を現した際にも戻ってこなかった。

「彼がいなくなった理由が確認できなかったため、我々は彼が死んだと思って仕事を再開した」と、この脅威アクターはフォーラムの投稿で説明している。「しかし、モスクワ時間の10月17日12時から誰かが我々と同じ鍵でランディングとボグの隠しサービスを持ち出したので、私の不安は尽きなかった」。

マルウェアのソースコードやサンプル、論文などを掲載しているウェブサイト「VX-Underground(VXアンダーグラウンド)」は、REvilのドメインキーを持っているのはUnknとフォーラムに投稿している脅威アクターだけであり、このランサムウェアグループのドメインは最近、Unknのキーを使ってアクセスされたと、ツイートしている。

McAfee(マカフィー)によると2021年の第2四半期に検出されたランサムウェアの大半に関連していたというREvilが、完全に消滅したかどうかはまだわからない。しかし、9月に突然復活して以来、このグループはユーザーの獲得に苦労しており、新たな脅威アクターを誘うために参加報酬の引き上げを求められている。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

サイバーセキュリティのZeroFoxがダークウェブ脅威インテリジェンスのVigilanteを買収

企業がソーシャルメディアやデジタルチャンネルに潜むリスクを検知するのをサポートするサイバーセキュリティのスタートアップZeroFox(ゼロフォックス)が、ダークウェブ脅威インテリジェンス会社のVigilante(ヴィジランテ)を買収したと発表した。

物議を醸している犯罪レポーティングアプリと勘違いしないで欲しいのだが、Vigilanteはサイバー攻撃から組織を守るのに役立つ情報を仕入れるためにダークウェブを調査している。買収取引の条件は明らかにされなかったが「業界で最も堅牢な」ダークウェブインテリジェンスソリューションを構築するために、ZeroFoxが専門家とアナリストで構成されるVigilanteのグローバルチームを引き継ぐ。

Vigilanteの数十年前に開発されたダークウェブ監視ツールをベースに、共同のソリューションは危険にさらされたクレデンシャルとボットネットにかかるリスクインテリジェンス、感染して脆弱なホストに関するネットワークインテリジェンス、そして脅威アクターとセキュリティ侵害インジケーター(IoC)についてのインテリジェンスを提供するために2社のデータセットを組み合わせる。ZeroFoxのAI処理能力を取り込んだプロダクトはまた、ボットネット曝露モニタリング、脅威モニタリング、そして特定の顧客向けの調査と脅威アクターエンゲージメントや資産回復のインシデントレスポンスも提供する。

「別の方法ではアクセスできないデータセット、研究者や専門家で構成されるチーム、ZeroFoxのスケールと人工知能の組み合わせで、説得力あるダークウェブインテリジェンスサービスを提供します」とVigilanteの共同創業者Mike Kirschner(マイク・キルシュナー)氏は述べた。

これまでよりも広範に組織をサポートすると2社がうたう今回の買収は、ダークウェブでの犯罪行為が激増している中でのものだ。こうした傾向は最近の調査で明らかになっている。パンデミックによってサイバー犯罪が増加し、2020年の情報漏洩件数は2019年から141%増の370億件超となり、ランサムウェアは100%増えた、とRisk Based Securityは情報漏洩に関する年次レポートで指摘した。

「ダークウェブと地下犯罪組織は現代の脅威インテリジェンスプログラムの重要な要件です」とZeroFoxのCEOであるJames C. Foster(ジェームズ・C・フォスター)氏は述べた。「当社の顧客は違法な経済活動について、そしてボットがどのように攻撃しているのか、あるいは顧客のクレデンシャルやクレジットカード、個人を特定できる情報、その他の情報が違法な経済活動の中で取引され得るのかについて把握する手法を必要としていて、また新たな戦術や搾取、脆弱性を理解する必要もあります」。

フォスター氏はVigilanteの買収により、顧客の情報を保護するのに役立つダークウェブインテリジェンス収集能力の「スケールと網羅性」が増す、と話した。

ZeroFoxは2020年2月、Intel CapitalがリードしたシリーズDラウンドで7400万ドル(約82億円)を調達し、この資金をグローバルでの事業拡大とプロダクト戦略を加速させるのに使うと発表している。この発表の前の2017年に同社は Redline Capital ManagementとSilver Lake WatermanがリードしたシリーズCで4000万ドル(約44億円)を調達した

関連記事
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに
【コラム】「脳の多様性」を活用してサイバーセキュリティのスキルギャップを解消する

カテゴリー:セキュリティ
タグ:ZeroFoxダークウェブ買収

画像クレジット:Dmetsov / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi