「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
REvilの復活を新たなマルウェアサンプルが裏付ける
ソースコードから作られたサンプル、同一のランサムノート
REvilの旧Torインフラが最近再開したのに続き、新たなランサムウェアオペレーションで使われる暗号化プログラムのサンプルをセキュリティ研究者Jakub Kroustek氏が発見し、このサンプルにより同オペレーションとREvilとの関係が裏付けられました。FellowSecurityの研究者らは、同ランサムウェアオペレーションはREvilの初期の中心開発者の1人が再開させたものであるとしています。
複数のランサムウェアオペレーションがREvilの暗号化プログラムを使用していますが、いずれも同マルウェアのソースコードではなく、改造が施された実行ファイルを使用しています。複数のセキュリティ研究者がBleepingComputerに伝えたところによると、新たなオペレーションに使用されている今回発見されたREvilのサンプルは、ソースコードから作られており、新たな変更を含んでいるとのことです。
同サンプルはファイルの暗号化を行いませんでしたが、作成したランサムノート(=身代金要求のメッセージ)は過去のRevilのものと同一でした。さらに、リブランドされたオペレーションに使用されたサイトは元のものとほぼ同じであり、脅威アクターは「Sodinokibi」を自称しています。
情報源:
2 https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-revil
3 https://www.secureworks.com/blog/revil-development-adds-confidence-about-gold-southfield-reemergence
アナリストのコメント
影響範囲
REvilはこれまでに、さまざまな業界を標的にしてきました。特筆すべきは、輸送業界と金融サービス業界です。REvilで4番目に大きな被害を受けた国は、日本です。
ロシアに公式の非難を行った、もしくは制裁を下した米国の同盟国にある企業は、比較的高いリスクにさらされていると自覚すべきでしょう。
見解
最近ロシア、米国、米国の同盟国の間で緊張が高まっていることを、ロシアを拠点とするREvilが復活した要因の一つと考えるアナリストは複数います。
緩和戦略
上記の「情報源」で紹介したトレンドマイクロの記事では、2021年末に同脅威アクターが使用した攻撃フローが複数取り上げられています。これらの攻撃や技術が今後も使われる可能性は極めて高いため、標的になり得る組織は、以下に掲げることを達成するための適切な措置を取ることが望まれます。
✔️RDPアクセスや、その他企業ネットワークへのアクセスを可能にするアカウントを保護する。
✔️使用されているハードウェア・ソフトウェアにおける重大な脆弱性で、同グループが悪用し得るものについては、最新の情報を常に把握しておく。
✔️悪意あるスパム行為やフィッシング行為に対する社員/職員の警戒を緩めない。
インジケーター
最新の脅威に関するアップデートされたばかりのインジケーターを、以下にまとめました。
インジケーター:db2401798c8b41b0d5728e5b6bbb94cf
タイプ:MD5ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:6620f5647a14e543d14d447ee2bd7fecc03be882
タイプ:SHA1ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:861e2544ddb9739d79b265aab1e327d11617bc9d9c94bc5b35282c33fcb419bc
タイプ:SHA256ハッシュ
背景情報:2022年3月のREvilのサンプル
インジケーター:ad49374e3c72613023fe420f0d6010d9
タイプ:MD5ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:eb563ab4caca7e19bdeee807b025ab2d54e23624
タイプ:SHA1ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8
タイプ:SHA256ハッシュ
背景情報:2022年4月のREvilのサンプル
インジケーター:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion
タイプ:ドメイン名
背景情報:2022年4月のREvilのリークサイト
インジケーター:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion
タイプ:ドメイン名
背景情報:2022年4月のREvilの身代金支払いサイト
Writer