-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
REvilの復活を新たなマルウェアサンプルが裏付ける
ソースコードから作られたサンプル、同一のランサムノート
REvilの旧Torインフラが最近再開したのに続き、新たなランサムウェアオペレーションで使われる暗号化プログラムのサンプルをセキュリティ研究者Jakub Kroustek氏が発見し、このサンプルにより同オペレーションとREvilとの関係が裏付けられました。FellowSecurityの研究者らは、同ランサムウェアオペレーションはREvilの初期の中心開発者の1人が再開させたものであるとしています。
複数のランサムウェアオペレーションがREvilの暗号化プログラムを使用していますが、いずれも同マルウェアのソースコードではなく、改造が施された実行ファイルを使用しています。複数のセキュリティ研究者がBleepingComputerに伝えたところによると、新たなオペレーションに使用されている今回発見されたREvilのサンプルは、ソースコードから作られており、新たな変更を含んでいるとのことです。
同サンプルはファイルの暗号化を行いませんでしたが、作成したランサムノート(=身代金要求のメッセージ)は過去のRevilのものと同一でした。さらに、リブランドされたオペレーションに使用されたサイトは元のものとほぼ同じであり、脅威アクターは「Sodinokibi」を自称しています。
情報源:
2 https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-revil
3 https://www.secureworks.com/blog/revil-development-adds-confidence-about-gold-southfield-reemergence
アナリストのコメント
影響範囲
REvilはこれまでに、さまざまな業界を標的にしてきました。特筆すべきは、輸送業界と金融サービス業界です。REvilで4番目に大きな被害を受けた国は、日本です。
ロシアに公式の非難を行った、もしくは制裁を下した米国の同盟国にある企業は、比較的高いリスクにさらされていると自覚すべきでしょう。
見解
最近ロシア、米国、米国の同盟国の間で緊張が高まっていることを、ロシアを拠点とするREvilが復活した要因の一つと考えるアナリストは複数います。
緩和戦略
上記の「情報源」で紹介したトレンドマイクロの記事では、2021年末に同脅威アクターが使用した攻撃フローが複数取り上げられています。これらの攻撃や技術が今後も使われる可能性は極めて高いため、標的になり得る組織は、以下に掲げることを達成するための適切な措置を取ることが望まれます。
✔️RDPアクセスや、その他企業ネットワークへのアクセスを可能にするアカウントを保護する。
✔️使用されているハードウェア・ソフトウェアにおける重大な脆弱性で、同グループが悪用し得るものについては、最新の情報を常に把握しておく。
✔️悪意あるスパム行為やフィッシング行為に対する社員/職員の警戒を緩めない。
インジケーター
最新の脅威に関するアップデートされたばかりのインジケーターを、以下にまとめました。
インジケーター:db2401798c8b41b0d5728e5b6bbb94cf
タイプ:MD5ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:6620f5647a14e543d14d447ee2bd7fecc03be882
タイプ:SHA1ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:861e2544ddb9739d79b265aab1e327d11617bc9d9c94bc5b35282c33fcb419bc
タイプ:SHA256ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:ad49374e3c72613023fe420f0d6010d9
タイプ:MD5ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:eb563ab4caca7e19bdeee807b025ab2d54e23624
タイプ:SHA1ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8
タイプ:SHA256ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion
タイプ:ドメイン名
背景情報:2022年4月のREvilのリークサイト
インジケーター:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion
タイプ:ドメイン名
背景情報:2022年4月のREvilの身代金支払いサイト
Writer
アナリストプロフィール
Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト
兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。
