ランサムウェア攻撃グループの「REvil」とは、サービスとしてのランサムウェア(Ransomware as a Service/RaaS)を行っているロシア系のハッカーグループで、世界で最も活発で収益性の高いサイバー犯罪組織のひとつと言われています。この記事では、REvilの概要と、REvilをはじめとするランサムウェアの対策方法について解説します。
「REvil」とは、ハッカーがランサムウェア攻撃を配布するために必要なものすべてを提供するSaaSに類似する「RaaS」のスキームを採用している犯罪グループで、別名「Sodinokibi」とも呼ばれています。「REvil」というグループ名は、ゲーム「Resident Evil(バイオハザード)」からインスピレーションを得たことがメンバーによって明かされています。
ハッカーの中核グループが強力なマルウェアを作成・管理し、他のハッカー(アフィリエイトメンバー)に対価を支払って配布します。アフィリエイトメンバーは、このマルウェアを使用して危険な攻撃を仕掛けることができます。
REvilの場合、コアチームは汎用性の高いランサムウェアとサポートを提供することで、40%の削減を要求していました。しかし、研究者は、コアチームがランサムウェアにバックドアを残し、アフィリエイトメンバーを迂回しながら被害者とチャットして身代金の支払いを手配していたことを発見しました。
REvilは、他のランサムウェアと同じように動作します。被害者のデバイスに侵入した後、ハッカーだけが持っているキーでファイルを暗号化します。そして、ハッカーは被害者を翻弄し、ファイルを取り戻すために身代金を要求します。
REvilがアナリストの注目を集めた理由は2つあります。
一部の報道では、REvilは、ロシア連邦保安庁によって阻止されたとされていましたが、2022年初頭に再びネット上に出現していると報じられています。
REvilは、2019年の登場以降、以下のような流れで衰退していきました。
消滅したと思われていたREvil は、その後再ブランディングを行ったとされています。しかし、この活動の背後にいる脅威の主体が、実際に元のグループのメンバーなのか、それとも新たな管理体制によるものなのかは不明です。
新たなREvilの背後にいるのが誰であれ、備えあれば憂いなしです。ランサムウェアの被害に遭う前に、徹底した対策を講じましょう。
ランサムウェア攻撃から身を守るには、毎日を安全に過ごすためのサイバーセキュリティを実践することが有効です。以下の対策を徹底しましょう。