2021/07/15

REvil は (おそらく) まだそこにいる

2021 年 7 月 15 日 Trevor Collins 著

Acer、JBS、そして最近では Kaseya の顧客などを標的として、有名企業を狙うランサムウェア攻撃が注目を集めました。そのほとんどは、ランサムウェアをサービスとして提供している(RaaS )グループ「REvil」の仕業でした。Kaseya の VSA ソフトウェアに存在する複数のゼロデイ脆弱性を悪用し、何千もの組織を暗号化した攻撃の後、REvil は沈静化したように見えます。このランサムウェアグループが「Happy Blog」と題して開設していたダークウェブの掲示板はもう応答せず、他のよく使われていたコミュニケーションチャネルからも追加の更新情報はありません。

一部の報道では、REvil のテイクダウンについて、バイデン米大統領がロシアのプーチン大統領による「行動を期待している」と発言したことから、米国またはロシア政府がこの組織をテイクダウンしたのではないか、と言われています。しかし確かなことは不明ですが、ここ最近の悪用行為があまりにも注目を集めたため、グループが自発的に沈黙している可能性が高いと見られます。これまでにも、EA Games のソースコードを流出させた Kickass や、コロニアル・パイプライン社に対するランサムウェア攻撃を行なった DarkSide などのサイバー犯罪グループが、注目が広がると沈黙する、という類似した行動をとってきました。

今のところ、このグループのテイクダウンの兆候はありません。米国政府はこれまで、テイクダウンを実施する際には Web ページ上での告知やプレスリリースなどで、あからさまに喧伝してきてきました。REvil が自発的に沈黙しているだけだとしたら、世界からの注目が薄れたと判断した時点で再び戻ってくるでしょう。少なくとも今回の攻撃の首謀者は、別の名前のグループで再編成をするはずです。

残念なことに、このようなグループが消滅することはありません。一部のメンバーは逮捕されるかもしれませんが、他のメンバーが別の組織として再編成をするだけです。ランサムウェアのグループは、今後もインフラストラクチャやその他の大きな組織といった標的を脅かし続けるでしょう。この機会に、データのバックアップが正常に機能していることを確認してください。ランサムウェア攻撃からの最後の防衛線であるソフトウェアシステムのバックアップがあれば、少なくとも最悪の事態は免れることができます。