REvilランサムウェアグループが完全に復活し、再び新たな被害者を攻撃し、盗んだファイルをデータリークサイトで公開するぞと脅迫行為を行っていることがわかりました。
2019年から、SodinokibiことREvilランサムウェアグループは、世界中の企業に対して攻撃を行っており、データを暗号し、盗まれたファイルの流出を防ぐために100万ドルなどの身代金を要求しているグループでした。
これまでにJBS、Coop、Travelex、GSMLaw、Kenneth Cole、Grupo Fleuryなどの有名企業に対して数多くの攻撃を行っています。
REvilの運営停止
REvilは、2021年7月2日にKaseya VSAリモートマネジメントプラットフォームのゼロデイ脆弱性を利用して、60のマネージドサービスプロバイダーと1,500以上の企業を暗号化した大規模な攻撃を行い、この攻撃は世界中に大きな影響を与えたため、国際的な法執行機関がこのグループを注視していました。
逮捕されるかもしれないというプレッシャーと不安を感じたのか、REvilグループは2021年7月13日に突然活動を停止していました。
ランサムウェアREvilグループとそのRaaSについての考察まとめ
REvilが復活
閉鎖後、研究者や法執行機関は、REvilがある時点で新しいランサムウェア事業者として名前を変更する再ブランド化すると考えていました。
しかし驚いたことに、REvilランサムウェアグループは、同じ名前で復活しました。
消息を絶ってから約2カ月が経過した2021年9月7日、Torの支払い・交渉サイトとデータ漏洩サイトが突如としてアクセスできるような状態になり、その1日後、ランサムウェアグループと交渉することが再び可能になりました。
以前の被害者はすべてタイマーがリセットされ、身代金の要求は7月にランサムウェアギャングが停止したときのままになっていたようです。
しかし、2021年9月9日になって、誰かが9月4日にまとめた新しいREvilランサムウェアのサンプルをVirusTotalにアップロードするまで、新たな攻撃の証拠はないため噂レベルにとどまっていましたが、噂が現実になってしまいました。
Comments