👁️‍🗨️

ロシア系ハッカーグループ、RaaSプロバイダー「REvil」( 別名「Sodinokibi」(ソディノキビ))について

2025/01/06に公開

概要

REvil(別名Sodinokibi)は、その高度な攻撃と攻撃的な戦術で知られる著名なランサムウェア・アズ・ア・サービス(RaaS)運営者です。その革新的なアプローチと運営の効率性により、ランサムウェアの領域で重要なプレーヤーとして浮上しました。以下はREvilの詳細で専門的な概要です。

REvilは2019年4月に初めて登場し、複雑なランサムウェア攻撃と運営モデルで瞬く間に悪名を馳せました。RaaSモデルで運営されており、主要な開発者がランサムウェアのインフラストラクチャをアフィリエイトに提供します。これらのアフィリエイトがランサムウェアを展開し、身代金の一部を開発者と共有します。このモデルにより、REvilは迅速にその範囲と影響を拡大し、サイバー犯罪の世界で最も重要なランサムウェア脅威の一つとなりました。

RaaSに関する記事は以下を参照ください。
https://zenn.dev/acebet/articles/802f05e51060c1

技術的特徴

REvilはRaaSモデルで運営されており、アフィリエイトにランサムウェアツールキットを提供します。アフィリエイトはランサムウェアを展開し、交渉や身代金の支払いを処理します。開発者はその収益の一部を受け取ります。この分散型アプローチにより、広範囲な展開と大規模な金銭的利益が可能になります。

RaaSモデルにより、REvilは大規模なアフィリエイトネットワークを活用し、その範囲を拡大し、攻撃の頻度と規模を増加させることができます。

感染と拡散

REvilは様々な方法で初期アクセスを得ます。これにはフィッシングメール、悪意のある添付ファイル、リモートデスクトッププロトコル(RDP)やその他のリモート管理ツールの脆弱性を利用することが含まれます。グループは、ターゲットを欺いて悪意のあるペイロードを実行させるために、高度なソーシャルエンジニアリング戦術を使用することがよくあります。

ネットワーク内に侵入すると、REvilのオペレーターはツールや技術を使用して横移動し、権限を昇格させ、追加のシステムを妥協します。ランサムウェアはネットワーク全体に迅速に拡散し、可能な限り多くのシステムに影響を与えます。

また、高度な暗号化アルゴリズムを使用してファイルをロックし、被害者がアクセスできないようにします。暗号化プロセスは迅速で効果的に設計されており、大量のファイルを短期間でターゲットにして運営を妨害します。

データの抽出と二重恐喝

ファイルの暗号化に加えて、REvilは二重恐喝戦術を採用しています。これには、暗号化前に機密データを抽出し、身代金が支払われない場合には公開するという脅しが含まれます。この方法により、被害者に対する圧力が高まり、データの喪失と公開のリスクが組み合わさります。

REvilは、身代金を支払わない被害者から盗まれたデータを公開するデータ漏洩サイトを運営しています。このサイトは、被害者を公に恥じさせ、機密情報を暴露することで支払いを強要します。

REvilのオペレーターは、身代金交渉における戦略的アプローチで知られています。通常、被害者と交渉し、身代金額や支払い条件を決定します。身代金要求は通常高額で、暗号化されたデータと盗まれた情報の重要性を反映しています。

グループは通常、ビットコインやモネロなどの暗号通貨での支払いを要求し、匿名性を保ち、取引を促進します。

また、REvilは、ランサムウェアの展開のさまざまな側面を自動化し、データの抽出を管理し、攻撃を効率的に実行するためにカスタム開発されたツールやスクリプトを利用します。

歴史的影響

REvilの著名さは、その効果的な二重恐喝と高度な運営モデルによるものです。グループはランサムウェア運営に新しい基準を設定し、他のRaaSプロバイダーに類似の技術を採用させる影響を与えました。

REvilは、ヘルスケア、金融、製造業など様々な業界をターゲットにしてきました。グループの攻撃は、ビジネス運営に重大な混乱を引き起こし、多くの著名な組織で機密情報が漏洩しました。

引退と遺産

2021年7月、REvilは高プロファイルな法執行措置と世界的な圧力を受けて大規模な混乱に見舞われました。グループの運営は報告によると停止し、そのインフラストラクチャは解体されました。

明らかな衰退にもかかわらず、REvilの戦術、特に二重恐喝の方法は、他のランサムウェアオペレーターに影響を与え続けています。グループのアプローチは、他のRaaSプロバイダーによって採用および適応されています。

防御と緩和策

予防

バックアップ

重要なデータを定期的にバックアップし、バックアップがメインネットワークから安全に分離して保存されるようにします。この対策により、ランサムウェア攻撃の影響を軽減できます。

パッチ管理

システムとソフトウェアを最新のセキュリティパッチで更新し、ランサムウェアが悪用する可能性のある脆弱性から保護します。

フィッシング認識

従業員にフィッシングの試みや疑わしいメールを認識させるトレーニングを行い、初期感染のリスクを減らします。

対応

インシデント対応

組織は、ランサムウェア攻撃に対処するための手順を含むインシデント対応計画を持つべきです。これには、影響を受けたシステムを隔離し、サイバーセキュリティの専門家に連絡し、必要に応じて法執行機関と調整することが含まれます。

復旧

バックアップからデータを迅速に復元し、ネットワークからランサムウェアが完全に排除されていることを確認することが、攻撃からの回復において重要です。
REvilの高度な二重恐喝の利用とRaaSモデルは、ランサムウェアの風景に大きな影響を与えました。組織は進化するランサムウェア脅威に対抗するために、常に警戒し、堅牢なセキュリティ対策を実施する必要があります。

Discussion