メニュー
ランサムウェア「REvil」(通称「Sodinokibi」)の運用サーバーが、Kaseyaに対して大規模な攻撃を行い、リモート管理ソフトウェア「Kaseya VSA」のゼロデイ脆弱性を利用して、マネージドサービスプロバイダー(MSP)約60社と、その顧客企業1,500社以上を暗号化した後、7月以来初めて作動しました。
彼らの失踪には、REvil社のサーバと支払いサイトが突然ダウンし、彼らの広報担当者に連絡が取れなかったことで気づきました。しかし、サイバーセキュリティ研究者は、REvilのTorデータリークサイトとTorネゴシエーションサイトである「Happy Blog」が最近復活したことを発見しました。
最後の痕跡は、REvilのサーバーが停止してから数週間後に、Kaseyaが、信頼できる「第三者」から不思議な形でマスター復号器を入手したことでした。ギャングがロシアの諜報機関に送った復号キーは、その後、善意の証としてFBIに渡されたという説があります。
活動再開?
7月にサーバーを停止した理由は、法執行機関からの圧力によるものである可能性はあるものの、誰にもわかりません。しかし、サーバーが再び現れた理由は、ランサムウェア・ギャングが活動を再開したことを意味するのか、それとも法執行機関の行動によるものなのか、現時点ではまだ不明です。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
