Kaseya(カセヤ)やTravelex(トラベックス)、JBSなどへのサイバー攻撃で悪名高いロシア関連のランサムウェア犯罪組織「REvil(レヴィル)」は、Tor(トーア)で公開していた支払いポータルとデータリークブログが乗っ取られたとした後、再び姿を消した。
REvilは2021年7月、Kaseyaを標的にした攻撃により数千の企業をランサムウェアに感染させた後、米国政府から激しく非難され、しばらく沈黙していたが、9月に突然復活。しかし、それからわずか数週間で再びサイトを閉鎖した。この閉鎖のニュースは最初、REvilに所属していることが知られている脅威アクターが、ある有名な犯罪フォーラムに投稿したもので、サイバーセキュリティ企業Recorded Future(レコーデッド・フューチャー)のDmitry Smilyanets(ミトリー・スミリヤネッツ)氏によって発見された。
この脅威アクターによる投稿では、REvilのTorサービスが乗っ取られ、おそらく以前バックアップされたと思われるグループの秘密鍵のコピーに置き換えられたと述べている。「サーバーが危険にさらされ、彼らは私を探していた」と、投稿には書かれている。「正確にいうと、彼らはtorrcファイル(Torサービスの設定に使われる)の中にあった私の隠れたサービスへのパスを削除し、自分たち自身のサービスを立ち上げ、私がそこへ行くように仕向けている。他の人にも確認したが、そうなってはいなかった。みんなの幸運を祈る。私は行くよ」。
本稿執筆時点では、誰がREvilのサーバーを乗っ取ったのかは明らかになっていない。9月のWashington Post(ワシントン・ポスト)の報道によると、7月にKaseyaの攻撃で被害を受けた企業のために、FBIはREvilの暗号鍵を入手していたが、REvilが姿を消してしまったため、FBIが計画していたテイクダウンは実現しなかったという。また、長らくグループのスポークスマンを務めていた「Unkn(アンノウン)」と呼ばれる元グループメンバーが乗っ取った可能性を指摘する声もある。Unknは、9月にグループが再び姿を現した際にも戻ってこなかった。
「彼がいなくなった理由が確認できなかったため、我々は彼が死んだと思って仕事を再開した」と、この脅威アクターはフォーラムの投稿で説明している。「しかし、モスクワ時間の10月17日12時から誰かが我々と同じ鍵でランディングとボグの隠しサービスを持ち出したので、私の不安は尽きなかった」。
マルウェアのソースコードやサンプル、論文などを掲載しているウェブサイト「VX-Underground(VXアンダーグラウンド)」は、REvilのドメインキーを持っているのはUnknとフォーラムに投稿している脅威アクターだけであり、このランサムウェアグループのドメインは最近、Unknのキーを使ってアクセスされたと、ツイートしている。
McAfee(マカフィー)によると2021年の第2四半期に検出されたランサムウェアの大半に関連していたというREvilが、完全に消滅したかどうかはまだわからない。しかし、9月に突然復活して以来、このグループはユーザーの獲得に苦労しており、新たな脅威アクターを誘うために参加報酬の引き上げを求められている。
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)