Kaseyaへの大規模攻撃があったのは、いまから2か月以上前の2021年7月2日でした。
この攻撃は範囲がとても大きく、60のマネージドサービスプロバイダーと1,500を超える企業がターゲットとなりました。
この攻撃を実施したのがREvilでした。
彼らの攻撃は大きくなりすぎました。
彼らは逮捕を恐れ、その活動を停止しました。それが2021年7月13日でした。
交渉サイトも情報漏洩サイトもすべて停止しましたので、当時攻撃された状態にあった組織は交渉相手との連絡の手段が絶たれました。
当時攻撃された状態にあった組織は、暗号化されたファイルをどうすることもできない状態になりました。
その後時間が経過し2021年9月になりました。
突然、新たな動きがありました。
- 2021年9月7日、Torの支払い/交渉サイトとデータ漏洩サイトが突然アクセスできるようになった
- 2021年9月8日、Torの支払いサイトにログインできるようになった
- 2021年9月9日、2021年9月4日にコンパイルされた新しいREvilランサムウェアサンプルがVirusTotalにアップロードされた
- 2021年9月11日、データ漏洩サイトに新しい被害者の漏洩データのスクリーンショットが公開された
- 2021年9月11日、「REvil」という名前の新しい代表者がハッキングフォーラムに投稿した
従来のメンバーが別の組織名で活動を開始するのではないかと予想されていたREvilですが、従来のままの組織名で活動を再開しました。
実にふてぶてしいと感じます。
こういった組織を根絶やしにすることはどのようにできるのでしょうか。
この検討とは別に、私たちの身を守るために、彼らのTTP(戦術・技術・プロシージャ)をよく理解し、継続的に対策をうっていくことが必要だと思われます。
参考記事(外部リンク):REvil ransomware is back in full attack mode and leaking
data
www.bleepingcomputer.com/news/security/revil-ransomware-is-back-in-full-attack-mode-and-leaking-data/
この記事をシェア |
---|