2 年 2021 月 XNUMX 日、REvil/Sodinokibi のユーザーが Kaseya VSA 製品の複数の脆弱性を悪用して、接続されたエンドポイントにランサムウェア エンクリプターを配布しました。 これは史上最高の身代金要求です。 Mandiant の SVP 兼 CTO である Charles Carmakal による解説。
Kaseya VSA は、マネージド サービス プロバイダー (MSP) や企業がコンピュータ システムをリモートで管理するために使用するリモート監視および管理ソリューションです。 REvil ランサムウェアによる混乱の影響を受けた組織の数は現在不明ですが、Kaseya の推定によると、その数は 1.500 未満です。 影響を受ける企業の多くは非常に小規模な家族経営の企業であり、米国の休日の週末のため、影響を知るのが遅くなりました。
サービスとしての REvil ランサムウェア (RaaS)
REvil Ransomware-as-a-Service (RaaS) は、2019 年 XNUMX 月以降、ロシア語のアンダーグラウンド フォーラムで宣伝されています。 RaaS ビジネス モデルでは、中央グループがランサムウェアを開発し、被害者と通信し、バックエンド インフラストラクチャを運用します。 パートナーまたは関連グループが攻撃を実行し、ランサムウェアを拡散します。 RaaS は、英語を話すパートナーを受け入れず、パートナーがウクライナを含む CIS 諸国を攻撃することを許可しないハッカー「UNKN」(別名「Unknown」) によって運営されています。 既知のユーザーはロシア語を話しますが、一部の参加者は物理的にロシアに拠点を置いていない可能性があります。 Colonial Pipeline 攻撃の後、UNKN は REvil ユーザーのターゲットを絞り込む努力を行い、ランサムウェアを配布する前にターゲットを確認することを主張しました。
REvil は 70 万ドルの身代金を要求
Charles Carmakal、SVP 兼 CTO、クライアント (画像: FireEye)
REvil は 4 月 70 日の夜の攻撃に対する責任を主張し、XNUMX 万を超えるシステムを攻撃したと主張しました。 彼らは、影響を受けるシステムのロックを解除するために使用できるユニバーサル復号化キーに XNUMX 万ドルを要求しています。 この法外な金額は史上最高です。 プライベートな会話の中で、REvil は積極的に要求を下げてきました。 また、攻撃の範囲と影響を誇張することでも知られています。 さらに、REvil は侵入からのデータをまだ公開していません。 被害者に支払いを強要するためによく使われる方法です。 犯罪者が数千万ドルの身代金を要求し、懲役刑に直面しない限り、この問題は悪化する一方です。 これらのグループには十分な資金があり、意欲が高く、決然とした集団行動だけが流れを変えることができます。
詳しくは FireEye.com をご覧ください
トレリックスについて Trellix は、サイバーセキュリティの未来を再定義するグローバル企業です。 同社のオープンでネイティブな XDR (Extended Detection and Response) プラットフォームは、今日の最も高度な脅威に直面している組織が、運用が保護され回復力があるという確信を得るのに役立ちます。 Trellix のセキュリティ専門家は、広範なパートナー エコシステムとともに、機械学習と自動化を通じて技術革新を加速し、40.000 を超える企業および政府の顧客をサポートしています。