REvil は、最近の記憶の中で最も多作なサービスとしてのランサムウェア キャンペーンの XNUMX つです。 世界中の何千ものテクノロジー企業、マネージド サービス プロバイダー、あらゆる業界の組織が被害を受けています。 Bitdefender は、恐喝企業の暫定的な貸借対照表を作成します。
セキュリティ当局と IT 専門家の協力により、2021 年後半は大きな成功を収めました。 サイバー犯罪者も協力して成功したため、共同の取り組みが必要でした。 Bitdefender Labs の専門家は、サービスとしてのランサムウェアの成功の波の失敗 (おそらく一時的なもの) を検討しています。
REvilの支援者に対する国際的なストライキ
ごく最近では、国際捜査官が犯罪者の REvil 支援者に大きな打撃を与えました。2021 年 2022 月の強制捜査の過程で、米国司法省はいわゆる関連会社、つまり REvil ネットワークのパートナーまたは参加者を逮捕し、約 XNUMX 万ドルを没収しました。身代金のドル。 その後、XNUMX 年 XNUMX 月、ロシアの国内情報機関 FSB とロシア警察は、REvil のメンバーと疑われる他の XNUMX 人を逮捕し、さらに数百万ドルの金融資産を押収しました。
ビジネスモデルとしてのランサムウェア
ロシア当局の目には、年間売上高 100 億ドル、市場シェア 16,5% を誇る最も成功したランサムウェア グループの 1 つが潰されたと見られています。 このような結果を達成するために、RaaS オペレーターはさまざまな業界を攻撃しました。特に、製造、法律サービス、および建設が注目されました (図 60 を参照)。 取引は当初成功し、関係者に大きな利益をもたらしました.Bitdefenderは、約70人のコアメンバーとピーク時に約80人の他のパートナーが行動に参加したと推定しています. 後者は、利益の約 XNUMX ~ XNUMX% を受け取りました。
成熟した企業
REvil ランサムウェアの標的となった業界 (画像: Bitdefender)。
REvil は、サービスとしての犯罪ランサムウェア モデルの力と組織化の程度を模範的に示しています。 アフィリエイト ネットワークでは、開発者、攻撃者、侵入テストの実施者、身代金回収者が緊密に連携し、合意された金額を回収するためのインフラストラクチャについても検討しました。 彼らは、支払いを希望する被害者へのサポートも設定しました。被害者は、ポータル経由で身代金を支払うことができました。 さらに、刑事サービスの従業員は、攻撃された組織に暗号通貨の取得について助言したり、TOR ブラウザーの使用を支援したりしました。
犯罪環境も能力に報いる
品質は、非公式経済において際立っています。 これは REvil グループで明らかでした。マルウェア コードと関連サービスが改善されればされるほど、より専門的なパートナーが成功モデルに加わりました。 さらなる改善により、攻撃者の手の届く範囲にさらに多くのやりがいのあるターゲットがもたらされました。 攻撃者はより高い身代金を手に入れ、それをすぐに RaaS に再投資しました。つまり、新しいサービスまたは新しいスタッフに投資しました。 犯罪者の仲間は、多くの場合、あるアフィリエイト パートナーから別のアフィリエイト パートナーに移動した人気のある専門家でした。
顧客コミュニケーションとしての被害者対話
サイバー犯罪者は、被害者を顧客のように扱いました。 そのため、特定のパターンに従って身代金を要求し、キーと URL だけが異なっていました。 身代金回収者はまた、被害者に自信を持たせようとしました。 パーソナライズされた挨拶(「ようこそ」)は「良い調子」に属していました。 2020 年の初めから、攻撃者は、自分たちの REvil デクリプタが別の犯罪組織のものよりもうまく機能することを保証すると仮定しました。 わずか 100% であったのに対し、ほぼ 87% の回収率が約束されました。
段階的な脅威
共同作業 - 共同利益 - 制度化された運用: サービスとしてのランサムウェア モデル (画像: Bitdefender)。
一方、RaaS パートナーは、暗号化が複数の脅威の一部にすぎない多層的な脅威の可能性を構築しました。 ヨーロッパの一般データ保護規則を参照して、彼らはデータを暗号化するだけでなく、それを開示すると脅迫しました. これは、報告義務、過小評価されるべきではないあなたのイメージへの損害、そして最悪の場合、罰金につながる. 身代金が支払われなかった場合、犯罪者は組織的に圧力を高め、漏洩したデータを公開し、このプロセスを停止するために身代金を要求しました。 XNUMX 番目のエスカレーション レベルは、被害者とそのビジネス パートナーに対する分散型サービス拒否攻撃でした。
REvil崩壊
追及圧力と Bitdefender によって開発された復号化ツールの可用性に加えて、内部要因も 2021 年秋以降の REvil の成功を遅らせる一因となっています。 RaaS のようなワークシェアリング プロセスは、関係者の評判と相互信頼に基づいています。 どうやら、REvil の開始者は、サイバー犯罪コミュニティ内で必要な評判を失ったようです。 一方では、これは彼らの挑発的で騒々しい態度によるもので、サイバー犯罪者の地下組織の行動規範に違反していました。 一方、パンデミック中のヘルスケア業界や製薬会社、医薬品研究者への攻撃は、半犯罪者の間で論争がなかったわけではありません。 古い学校の犯罪者は、これが非生産的であることに気づき、これらの企業が迅速に解毒剤を開発することを望んでいました。なぜなら、経済がより速く再び動き出し、より高い身代金が再び要求される可能性があるからです.
共通および国際防衛工事
REvil 複合体は、共通の答えだけがサイバー犯罪者のグループに対抗できることを示しています。技術的な面では、マネージド型の検出と対応 (MDR)、ヒューリスティック分析、機械学習などの技術とサービスの組み合わせです。一方、IT セキュリティの専門家の知識と専門知識と直感。 デクリプタなどのツールも貢献しました。 2021 年秋に Bitdefender がリリースした復号化ツールを使用して、1.400 社の企業が総額 XNUMX 億米ドルのファイルを復号化できました。 人事面では、IT セキュリティにおける国と民間の関係者間の緊密な協力が重要です。 サイバー犯罪には国境がないため、それは世界中に広がっています。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de