REvil ランサムウェアの進化：新たな戦術、驚異的な成功、高名なターゲット

REvilギャングは、米国、ヨーロッパ、アフリカ、南アメリカの主要企業を標的とした攻撃の大波の背後に立っています。2021年3月、ランサムウェアのオペレーターは、敏感データの漏洩を伴うほぼ1ダースの侵入を主張しました。被害者のリストには法律事務所、建設会社、国際銀行、製造業者が含まれます。報道によれば、Acer、Asteelflash、Tata Steelが最近REvilの悪意ある活動に苦しんでいるとされています。

REvilランサムウェアとは？

REvil（別名 Evil、Sodinokibi）は、サイバー脅威の場で最も悪名高く広がっているランサムウェアの一つです。2019年4月に登場して以来、セキュリティ研究者はREvilをGandCrabの後継者と特定し、両方のマルウェアサンプル間で多くのコードが共有されていることを確認しました。

現在、REvilはランサムウェア・アズ・ア・サービス（RaaS）脅威として機能しており、広範なアフィリエイトネットワークを利用して配布されています。その代わりに、REvilの開発者は成功した攻撃の場合、利益の20〜30％を得ます。最近、ランサムウェアの管理者は、可能な利益を増やすために収益性の高いダブル・エクストーションのトレンドに参加しました。これにより、サイバー犯罪者は敏感データを暗号化するだけでなく、機密情報も盗むようになりました。その結果、バックアップから情報を復旧できるだけではなく、データ漏洩を防ぐために身代金を支払うように圧力がかかります。さらに最大の圧力をかけるために、REvilの開発者はメディアや被害者のビジネスパートナーに連絡して、現在進行中の侵入を通知します。

このような恐喝戦術は、REvilの仲間に多数の被害者と多額の利益をもたらします。セキュリティ研究者は、2020年に悪名高いREvilギャングが約150の業者に対する攻撃で1億ドル以上を稼いだと推定しています。IBM Security X-Forceの調査によれば 問い合わせによると、REvilの被害者の36％が身代金を支払い、被害者の12％が2019年から2020年の間にダークウェブでオークションで敏感データを売却された。

特に、次の年にはランサムウェアの管理者がさらに野心的な目標である20億ドルを掲げています。彼らの目的に向かう途中で敵は悪意のあるネットワークに新しいアフィリエイトを探しています。たとえば、ギャングは 100万ドルをロシア語の地下フォーラムに預けました。 $1 million on a Russian-speaking underground forum. 

さらに、REvilの悪意ある能力を強化するために、開発者は最近 新しい機能を追加しました 脅威がセーフモードで実行し、侵入後に感染したWindowsデバイスを再起動できるようになりました。この革新により、REvilはアンチウイルスソフトウェアを回避し、感染を成功させることができます。

最新のREvilの被害者

2019年に浮上した後、REvilギャングは Travelex, 、Grubman Shire Meiselas & Sacks （GSMLaw）、 Brown-Forman, 、CyrusOne, 、Artech Information Systems, 、Albany International Airport, 、Kenneth Coleなどの主要企業を攻撃しました 、GEDIA Automotive Group。しかし、サイバー犯罪ギャングには野心を削減する意図はありません。最近のニュース声明によると、さらに3つの企業がREvilの活動の被害者になったと示されています。

2021年3月中旬に、REvilの管理者は Acer、主要な台湾の電子機器およびコンピューターの製造会社を攻撃しました。成功した侵入後、サイバー犯罪者は重要なデータを盗み、暗号解読とデータ漏洩防止のために5000万ドルの身代金を要求しました。

2021年4月の初めのもう一つの大きな事件が発生しました。今回、REvilはフランスの電子機器メーカーである Asteelflashを標的とし、2400万ドルの身代金を要求しました。会社は公式に事件を開示していませんが、セキュリティ研究者はこの攻撃のTor交渉ページを発見しました。

最終的に、2021年4月6日の報道によると、インドのスチールグループである Tata Steel もREvilの被害者となり、データ復旧のために400万ドルの身代金を要求されました。

REvilランサムウェア攻撃の検出

可能なREvil攻撃を検出し防ぐために、当社の活発なThreat Bounty開発者がリリースした新しいSigmaルールのセットをダウンロードすることができます。

マルスパムキャンペーンがIcedIDをドロップし、REvilランサムウェアに繋がる

REvilランサムウェアに新しい「Windowsセーフモード」暗号化モードが追加されました

セーフモードを介してアンチウイルス/EDRを回避

また、Threat Detection Marketplaceで REvil検出の完全なリスト を確認できます。最もホットな更新を見逃さないように、ブログをチェックしてください。

Threat Detection Marketplaceにサインアップし、23を超える市場をリードするSIEM、EDR、およびNTDRツール向けの10万以上の検出アルゴリズムと脅威ハンティングクエリを含む業界初のSOCコンテンツライブラリにアクセスできます。300人を超える協力者が毎日私たちのグローバルなSOCコンテンツライブラリを豊かにし、攻撃のライフサイクルの最初の段階で最も警戒すべきサイバー脅威の継続的な検出を可能にしています。自身のSigmaルールを作成したいですか？より安全な未来のためにThreat Bounty Programに参加しましょう！

プラットフォームに行く Threat Bountyに参加する