今年初めにKaseya、Travelex、JBSに対して注目を集めたサイバー攻撃を行った、ロシアとつながりのある悪名高いランサムウェア集団REvilは、Tor決済ポータルとデータ漏洩ブログがハイジャックされたとされ、再び姿を消した。
このグループは、数ヶ月にわたる活動休止を経て数週間後に再活動を開始した。この活動休止期間中、Kaseyaへの攻撃で数千社もの企業がランサムウェアに感染したことを受け、米国政府からの厳しい批判にさらされていた。活動休止のニュースは、Recorded FutureのDmitry Smilyanets氏によって初めて発見された、REvil作戦に関与しているとされる脅威アクターが、犯罪者フォーラムに投稿した際に初めて報じられた。
脅威アクターの投稿によると、グループのTorサービスが乗っ取られ、グループの秘密鍵のコピーに置き換えられたとのことだ。おそらく以前のバックアップからコピーされたものだろう。「サーバーが侵害され、彼らは私を探していた」と投稿には書かれている。「正確に言うと、彼らはtorrcファイル(Torサービスの設定に使用)にある私の隠しサービスへのパスを削除し、私がそこへアクセスできるように独自のパスを設定していた。他のファイルも確認したが、これは違う。皆さん、頑張ってください。私はもう行ってしまう。」
本稿執筆時点では、REvilのサーバーに誰が侵入したのかは不明です。ワシントン・ポスト紙が9月に報じたところによると、FBIは7月のKaseya攻撃で被害を受けた企業の暗号鍵を同グループのものから入手したものの、同グループの消滅後、計画されていた摘発は実行されなかったとのことです。また、「Unkn」(不明)として知られる元グループメンバーによる乗っ取りの可能性を指摘する声もあります。この元メンバーは長年同グループの広報担当者を務めていましたが、9月に残りのメンバーが再集結した際には姿を消していました。
「紛失の理由が確認できなかったため、死亡したと考えて作業を再開しました」と、脅威アクターはフォーラム投稿で説明した。「しかし、今日モスクワ時間12時から17時10分にかけて、誰かが私たちの鍵と同じ鍵で着陸場とトイレの隠しサービスについて言及したため、不安が募りました。」
マルウェアのソースコード、サンプル、論文などをホストするウェブサイト「VX-Underground」は、REvilのドメインキーを所有していたのはUnknownとフォーラム投稿者の脅威アクターのみであり、このランサムウェアグループのドメインは最近Unknownのキーを使用してアクセスされたとツイートした。
マカフィーによると、今年第2四半期に検出されたランサムウェアの大部分にREvilが関連付けられており、その活動が完全に消滅したかどうかはまだ不明だ。しかし、このグループは9月に突然姿を消して以来、ユーザー獲得に苦戦しており、新たな脅威アクターを誘致するためにアフィリエイト報酬を引き上げている。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Kaseyaのハッキングで数百の企業がランサムウェアに感染
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、テクノロジー業界で10年以上勤務し、Forbes、TechRadar、WIREDなどのメディアに寄稿していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
