REvilの復活を新たなマルウェアサンプルが裏付ける | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Analyst's Choice > REvilの復活を新たなマルウェアサンプルが裏付ける

REvilの復活を新たなマルウェアサンプルが裏付ける

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

REvilの復活を新たなマルウェアサンプルが裏付ける

 

REvilの復活を新たなマルウェアサンプルが裏付ける

ソースコードから作られたサンプル、同一のランサムノート

REvilの旧Torインフラが最近再開したのに続き、新たなランサムウェアオペレーションで使われる暗号化プログラムのサンプルをセキュリティ研究者Jakub Kroustek氏が発見し、このサンプルにより同オペレーションとREvilとの関係が裏付けられました。FellowSecurityの研究者らは、同ランサムウェアオペレーションはREvilの初期の中心開発者の1人が再開させたものであるとしています。

 

複数のランサムウェアオペレーションがREvilの暗号化プログラムを使用していますが、いずれも同マルウェアのソースコードではなく、改造が施された実行ファイルを使用しています。複数のセキュリティ研究者がBleepingComputerに伝えたところによると、新たなオペレーションに使用されている今回発見されたREvilのサンプルは、ソースコードから作られており、新たな変更を含んでいるとのことです。

 

同サンプルはファイルの暗号化を行いませんでしたが、作成したランサムノート(=身代金要求のメッセージ)は過去のRevilのものと同一でした。さらに、リブランドされたオペレーションに使用されたサイトは元のものとほぼ同じであり、脅威アクターは「Sodinokibi」を自称しています。

 

情報源:

1 https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/?_hsmi=211878274&_hsenc=p2ANqtz-8jMschGDav3b7x24g56HnepZxuAqW4glLheW1PPYdTaoswfG3_HN8O31SOkgr3QHEeo3CgYC4ebVtD1mhDThfs9olvxw

2 https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-revil

3 https://www.secureworks.com/blog/revil-development-adds-confidence-about-gold-southfield-reemergence

 

アナリストのコメント

影響範囲

REvilはこれまでに、さまざまな業界を標的にしてきました。特筆すべきは、輸送業界と金融サービス業界です。REvilで4番目に大きな被害を受けた国は、日本です。

ロシアに公式の非難を行った、もしくは制裁を下した米国の同盟国にある企業は、比較的高いリスクにさらされていると自覚すべきでしょう。

関連記事:国内外における2021年のランサムウェア被害事例と企業が取るべき対策

見解

最近ロシア、米国、米国の同盟国の間で緊張が高まっていることを、ロシアを拠点とするREvilが復活した要因の一つと考えるアナリストは複数います。

緩和戦略

上記の「情報源」で紹介したトレンドマイクロの記事では、2021年末に同脅威アクターが使用した攻撃フローが複数取り上げられています。これらの攻撃や技術が今後も使われる可能性は極めて高いため、標的になり得る組織は、以下に掲げることを達成するための適切な措置を取ることが望まれます。

 

✔️RDPアクセスや、その他企業ネットワークへのアクセスを可能にするアカウントを保護する。

✔️使用されているハードウェア・ソフトウェアにおける重大な脆弱性で、同グループが悪用し得るものについては、最新の情報を常に把握しておく。

✔️悪意あるスパム行為やフィッシング行為に対する社員/職員の警戒を緩めない

 

インジケーター

最新の脅威に関するアップデートされたばかりのインジケーターを、以下にまとめました。

 

インジケーター:db2401798c8b41b0d5728e5b6bbb94cf

タイプ:MD5ハッシュ

背景情報:2022年3月のREvilのサンプル

 

インジケーター:6620f5647a14e543d14d447ee2bd7fecc03be882

タイプ:SHA1ハッシュ

背景情報:2022年3月のREvilのサンプル

 

インジケーター:861e2544ddb9739d79b265aab1e327d11617bc9d9c94bc5b35282c33fcb419bc

タイプ:SHA256ハッシュ

背景情報:2022年3月のREvilのサンプル

 

インジケーター:ad49374e3c72613023fe420f0d6010d9

タイプ:MD5ハッシュ

背景情報:2022年4月のREvilのサンプル

 

インジケーター:eb563ab4caca7e19bdeee807b025ab2d54e23624

タイプ:SHA1ハッシュ

背景情報:2022年4月のREvilのサンプル

 

インジケーター:0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8

タイプ:SHA256ハッシュ

背景情報:2022年4月のREvilのサンプル

 

インジケーター:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion

タイプ:ドメイン名

背景情報:2022年4月のREvilのリークサイト

 

インジケーター:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion

タイプ:ドメイン名

背景情報:2022年4月のREvilの身代金支払いサイト

 

アナリストプロフィール

Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。