REvil は Sodinokibi としても知られ、成熟したサービスとしてのランサムウェア (RaaS) として広く使用されています。 ソフォスの研究者は、攻撃者が REvil 攻撃を実装するために最もよく使用すると考えられるツールと動作を調査しました。
犯罪者は開発者からランサムウェアを借りて、被害者のコンピューターに独自のパラメーターを付けて配置することができます。 したがって、REvil ランサムウェア攻撃の具体的なアプローチと影響は、マルウェアを使用する攻撃者のツール、動作、リソース、およびスキルによって大きく異なります。
内部に隠された REvil ランサムウェア
Sophos のプリンシパル リサーチャー、Andrew Brandt は次のように述べています。 REvil/Sodinokibi の成功は、ランサムウェアをサービスとして提供するため、すべての攻撃が異なるという事実に部分的に起因している可能性があります。 そのため、守備側が注意すべき危険信号を見つけるのが難しくなる可能性があります。」
この記事では、SophosLabs と Sophos Rapid Response チームのソフォス研究者が、攻撃者が REvil 攻撃を実装するために最も頻繁に使用すると考えられるツールと動作について説明しています。 このレポートの目的は、脅迫的または進化する REvil ランサムウェア攻撃を特定し、組織を保護する方法についての洞察を防御者に提供することです。
REvil ランサムウェア攻撃ツール
- VPN、リモート デスクトップ プロトコル (RDP)、VNC などのデスクトップ リモート管理ツール、さらには一部のクラウドベースの管理システムなどのよく知られたインターネット サービスに対するブルート フォース攻撃。 マルウェア、フィッシング、または単にターゲットのネットワーク上に既にある他のマルウェアに資格情報を追加することによって取得した資格情報の悪用。
- Mimikatz を使用してドメイン管理者の資格情報を取得する資格情報の収集と権限昇格。
- バックアップの無効化または削除、セキュリティ テクノロジの無効化の試行、および暗号化対象のコンピュータの特定により、ランサムウェアのリリースの準備を整えます。
- 抽出のために大量のデータをアップロード – ソフォスの研究者がこれを確認したのは、調査した REvil/Sodonokibi インシデントの約半分のみでした。 データの盗難に関係するケースでは、約 XNUMX 分の XNUMX が、盗まれたデータの (一時的な) 保管場所として Mega.nz を使用していました。
- データを暗号化してエンドポイント保護ツールをバイパスする前に、コンピュータをセーフ モードで再起動します。
REvil/Sodinokibi ランサムウェア攻撃とそれらを防御する方法の詳細については、SophosLabs Uncut の記事を参照してください。
粘り強さと外国の羽毛
Sophos Rapid Response の調査結果によると、REvil ランサムウェアを展開する攻撃者は非常に持続的である可能性があります。 チームが調査した最近の REvil 攻撃では、侵害されたサーバーから収集されたデータは、35.000 分間で約 349 回のログイン試行の失敗を示しました。これは、世界中の XNUMX の一意の IP アドレスから発信されたものです。 また、ソフォスの研究者が観察した少なくとも XNUMX つの REvil 攻撃では、最初のエントリ ポイントは別の攻撃者による以前のランサムウェア攻撃によって取り残されたツールでした。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。