ランサムウェア攻撃集団「REvil」とは？悪名高いランサムウエアは復活したのか？

「REvil」とは、ハッカーがランサムウェア攻撃を配布するために必要なものすべてを提供するSaaSに類似する「RaaS」のスキームを採用している犯罪グループで、別名「Sodinokibi」とも呼ばれています。「REvil」というグループ名は、ゲーム「Resident Evil（バイオハザード）」からインスピレーションを得たことがメンバーによって明かされています。

ハッカーの中核グループが強力なマルウェアを作成・管理し、他のハッカー（アフィリエイトメンバー）に対価を支払って配布します。アフィリエイトメンバーは、このマルウェアを使用して危険な攻撃を仕掛けることができます。

REvilの場合、コアチームは汎用性の高いランサムウェアとサポートを提供することで、40％の削減を要求していました。しかし、研究者は、コアチームがランサムウェアにバックドアを残し、アフィリエイトメンバーを迂回しながら被害者とチャットして身代金の支払いを手配していたことを発見しました。

REvilは、他のランサムウェアと同じように動作します。被害者のデバイスに侵入した後、ハッカーだけが持っているキーでファイルを暗号化します。そして、ハッカーは被害者を翻弄し、ファイルを取り戻すために身代金を要求します。

REvilがアナリストの注目を集めた理由は2つあります。

1. 大胆な攻撃。REvilとその関連会社は、以下のような知名度の高いターゲットを攻撃し、多額の身代金を奪っています。
   • レディー・ガガ
   • ドナルド・トランプの下で働く法律事務
   • Acer
   • Apple
   • JBS（1100万米ドルの身代金を支払った米国の大手食肉メーカー）
   • Kaseya（数千の企業に影響を与えた大手ビジネスサービスプロバイダー）
   • HX5（米陸海空軍、NASAと取引する宇宙・兵器技術請負会社）
   これらは、最も規模が大きい攻撃かつ著名な被害者の一部に過ぎず、REvilによる攻撃の全てではありません。
2. 有効性。ランサムウェアは、広く配布・使用されるだけでなく、かなりの成功を収めています。他のRaaSと同様に、このマルウェアは、異なる重要なターゲットに適応されたり、複雑な攻撃のペイロードとして配布されたりして、成功する確率を高めています。

一部の報道では、REvilは、ロシア連邦保安庁によって阻止されたとされていましたが、2022年初頭に再びネット上に出現していると報じられています。

REvilは、2019年の登場以降、以下のような流れで衰退していきました。

• 2021年9月、Bitdefenderは、特定日以前にREvilマルウェアに感染した企業がファイルを復号化し、身代金の支払いを回避できるようにする復号化キーを公開しました。
• 2021年10月、国際的な協調攻撃により、同グループのサーバーとバックアップサーバーの多くがオフラインになりました。
• 2021年11月、国際的な法執行機関の協力により、REvilおよび類似のランサムウェアグループに関連する7人が逮捕されました。
• 2022年1月、ロシアの法執行機関が同グループのメンバーを逮捕し、資産を押収しました。

消滅したと思われていたREvil は、その後再ブランディングを行ったとされています。しかし、この活動の背後にいる脅威の主体が、実際に元のグループのメンバーなのか、それとも新たな管理体制によるものなのかは不明です。

新たなREvilの背後にいるのが誰であれ、備えあれば憂いなしです。ランサムウェアの被害に遭う前に、徹底した対策を講じましょう。

ランサムウェア攻撃から身を守るには、毎日を安全に過ごすためのサイバーセキュリティを実践することが有効です。以下の対策を徹底しましょう。

• 信頼できない送信元からのメールに添付されたファイルをダウンロードしない
• 信頼できないWebサイトからファイルをダウンロードしない
• 怪しいリンクをむやみやたらにクリックしない
• 出所不明のUSBメモリーを使用しない
• サイバー犯罪の手口を見分ける方法を学ぶ、最新のサイバー脅威について調べる
• 脅威対策Proなどのマルウェア対策およびアンチウィルスソフトを導入し、定期的にセキュリティスキャンを実施する
• 公衆Wi-Fiに接続する際はVPNを使用する