REvilランサムウェア
REvilは、主にランサムウェアを扱う脅威アクターグループに一般的に使用されるハンドルです。同じ犯罪組織は、グループが最初に使用したランサムウェアの別の株の名前にちなんで、ソディノキビと呼ばれることもあります。
REvilは、サービスとしてのランサムウェアリングを操作するサイバー犯罪者によって実行されるプライベートオペレーションです。関係者は、ある意味で、REvilのサーバーインフラストラクチャとランサムウェアのペイロードを貸し出し、独自の攻撃を開始して、有償の身代金からの潜在的な違法な利益をREvilグループと分割することができます。
REvilが活動している国についての確固たる証拠はありませんが、ロシアまたは他の国にある企業や標的に対する攻撃を開始したことがないため、グループがロシアに拠点を置いている可能性があるとの推測があります。いわゆる元ソビエトブロックに。 2つのハッカーグループが使用するランサムウェアのコードには特定の類似点があるため、REvilグループが何らかの形でDarkSide脅威グループに関連しているという推測もあります。
REvilグループは、2019年後半からinfosecコミュニティの視界に入っており、2020年には重大な攻撃と活動が活発化しています。
REvilに起因する注目すべき過去の攻撃
過去にREvilによって実行された最も注目すべき攻撃には、台湾に拠点を置くハードウェアメーカーであるQuantaComputersへの攻撃が含まれます。 REvilは、攻撃の対象となる今後のApple製品に関連する計画とドキュメントを盗みました。
1か月ほど前、REvilは、米国最大の生肉供給業者であるJBS USAHoldingsでの大規模なランサムウェアの仕事にも遅れをとっていました。この攻撃は、JBSがハッカーに1,100万ドルを支払い、復号化ツールを入手してネットワークを通常の正常な状態に復元することで頂点に達しました。
2021年6月、REvilは、米国を拠点とする発電設備会社から報告されたランサムウェア攻撃にも責任を負いました。
7月4日の休暇中に数百の企業を標的とするREvilランサムウェアハッカーによって開始された新しい攻撃の取り組み
REvilランサムウェアを含むサイバーキャンペーンは、7月4日の週末に北米の企業を標的にし始めました。サプライチェーン攻撃として知られるこの特定の攻撃では、REvilはITサポート会社のKaseyaによって開発されたサードパーティのリモートデスクトップソフトウェアを使用して、そのペイロードを他の企業に拡散しました。
同社は、彼らのリモートソフトウェアが無防備な犠牲者にREvilを広めるために使用されていたと述べました。報告によると、少なくとも200の米国企業と40の国際企業が影響を受けています。
REvilがソフトウェアアップデートを使用してKaseyaのリモートデスクトップサービスを侵害した後、7月2日金曜日にREvilランサムウェア攻撃が発見されました。この攻撃に対応して、同社は顧客データを保護するためにSaaSサーバーをシャットダウンし、ハッキングに対する予防措置を講じるように促しました。ただし、7月4日の休日が始まった直後に攻撃が発生したため、影響を受ける企業による脅威への対応が遅れる可能性があります。