REvil

REvil (Sodinokibi)

概要

REvil（レビルとも呼ばれる）は、ロシア発のハッカー集団として知られ、RaaS（サービスとしてのランサムウェア）モデルを採用し、企業に対する攻撃を行っています。彼らの活動は、サイバー犯罪における有名な組織として認識されており、特にIBMの年次報告書「IBM X-Force脅威インテリジェンス・インデックス2021」において、ランサムウェアの中で最も被害をもたらした団体として名前が挙げられています。

被害の実態

REvilは、過去1年間で1億2300万ドルを超える被害を引き起こし、影響を受けた企業の約2/3が身代金を支払ったとされています。アメリカ司法省によると、彼らの活動により2021年には従業員数で約17万5000台のコンピュータが攻撃され、2億ドルの身代金が支払われたと報告されています。このことから、REvilはサイバー犯罪業界での利益を上げ続けていることが伺えます。

ランサムウェアの特徴

REvilが使用するランサムウェアは、C言語で開発され、特に優れた暗号化技術を使用しています。具体的には、curve25519やAES-256-CTRを用いた暗号化システムが採用されており、これにより多くのアンチウイルスソフトからも容易に検知されない特徴を持っています。また、あらゆるバックアップ機能を無効化し、復旧を困難にする手法を採用しており、被害者に対して二重脅迫を行います。データを奪い、身代金を支払わなければ公にすると脅す準備も整っており、その傾向は日増しに強まっています。

RaaSモデル

REvilはRaaSモデルに基づき、パートナー（アフィリエイター）を募集し、彼らに自身の開発したランサムウェアを配布します。アフィリエイトが成功裏に身代金を得た場合、その報酬はREvilと分配されます。このようなシステムにより、被害者のデータ盗難が彼らの収入源となり、犯罪行為に加担するパートナーとの協力関係が築かれています。

政府との関与

REvilの活動拠点はロシアであり、彼らがロシアの組織を標的にしないという特徴から、同国の保護を受けているのではないかとの見方もあります。サイバー攻撃が起きた際、ロシア政府はその対応を求められていますが、実効性のある証拠は示されていません。専門家は、REvilがロシアの情報機関の庇護を受けている可能性があると指摘しています。

歴史

REvilの活動は2019年から始まり、最初は「GandCrab」グループから派生したと考えられています。彼らの攻撃手法や技術には類似点が多く、特定の企業を攻撃対象から外すホワイトリストが存在する点が共通しています。2020年には、身代金の支払い方法をビットコインから匿名性のあるMoneroに切り替え、被害者の追跡を難しくしています。2021年以降も、彼らは大規模な攻撃を実行し、JBSなどの企業から身代金を奪うなどして注目を集めました。

最新の動向

2021年7月、REvilはKaseyaを攻撃し、攻撃の対象となった企業の顧客に甚大な被害を与えました。この攻撃は、サプライチェーン攻撃の一例であり、数百万のシステムに影響を与えた可能性が指摘されています。REvilの活動は現在も続いており、今後の発展が注目されます。セキュリティ専門家によってREvil関連のインフラが攻撃され、ダークウェブ上のグループがダウンしているとの情報も出ていますが、詳細は不明です。

以上のように、REvilは世界的に危険なハッカー集団となっており、サイバーセキュリティの観点からも非常に関心が持たれています。

もう一度検索