4月、ランサムウェア集団「REvil」はMac組み立てメーカーのQuantaをハッキングし、2021年モデルのMacBook Proの発売前にデザインを暴露しました。そして今、FBI主導の作戦により、シークレットサービスや複数国の法執行機関と連携し、REvil自身もハッキングを受けました。

法執行機関は、さらなる攻撃を防ぎ、ランサムウェアグループの運営に関与した個人を追跡するために設計された作戦で、複数の REvil サーバーの制御を獲得しました。

背景

ランサムウェア集団REvilは4月、AppleのサプライヤーであるQuanta Computerのシステムにハッキングし、当時未発表だった複数の新製品の内部設計図を入手したと発表した。REvilはこの主張を裏付けるために事例を公開したが、当初は新たな情報は何も得られなかった。

REvil は最初、ファイルを公開しない代わりに Quanta を脅迫して 5,000 万ドルを要求し、その後 Apple に対しても同じことを試みました。

これが失敗した後、REvilは2021年モデルのMacBook Proに搭載される新しいポートを明らかにする回路図を公開しました。MagSafe、HDMI、SDカードスロットのI/Oが搭載されたマシンが発売されたことで、回路図の正確さが証明されました。

ロイター通信 は、FBIと他の法執行機関が今やこのグループに対して形勢逆転を起こしたと報じている。

ランサムウェア集団REvilは今週、複数国にまたがる作戦によってハッキングされ、オフラインに追い込まれたと、米国と協力する民間サイバー専門家3人と元政府職員1人が明らかにした。[…] 被害者のデータを漏洩し、企業を脅迫するために使用されていたこの犯罪集団のウェブサイト「ハッピーブログ」は、現在利用できない状態となっている[…]

VMWareのサイバーセキュリティ戦略責任者トム・ケラーマン氏は、法執行機関と諜報機関の職員が同グループが他の企業を攻撃するのを阻止したと述べた。

「FBIはサイバーコマンド、シークレットサービス、そして志を同じくする国々と連携し、これらのグループに対して真に重要な破壊的行動をとってきた」と、米国シークレットサービスのサイバー犯罪捜査顧問であるケラーマン氏は述べた。「REvilはリストのトップに挙げられていた」

実際の攻撃は「海外のパートナー」のサイバーセキュリティチームによって行われたとされています。REvilの背後にいる人物の1人が、この攻撃が行われたことを確認しました。

以前の閉鎖後にグループの活動再開を支援してきた「0_neday」として知られるリーダー的人物は、REvilのサーバーが匿名の人物によってハッキングされたと語った。

「サーバーが侵入され、彼らは私を探していた」と、0_nedayは先週末、サイバー犯罪フォーラムに投稿した。この投稿はセキュリティ企業Recorded Futureによって初めて発見された。「皆さん、頑張ってください。私はもう行っています。」

皮肉なことに、法執行機関はREvilの戦術の一つを、彼らに対して用いました。データを暗号化するランサムウェア攻撃に対する一般的な対応は、バックアップからの復元です。REvilは、この攻撃を阻止するためにバックアップにコードを挿入することが多く、FBI主導の作戦も、REvil自身のバックアップに対して同様のことを行ったと報じられています。彼らは、REvilが利用していた複数のウェブサイトをダウンさせ、バックアップを侵害しました。

ギャングのメンバーである0_nedayらが先月、バックアップからこれらのウェブサイトを復元した際、彼は既に法執行機関によって管理されていた内部システムの一部を知らないうちに再起動してしまった。

「REvilランサムウェア集団は、バックアップが侵害されていないという前提で、インフラを復元しました」と、ロシア主導のセキュリティ企業Group-IBのフォレンジックラボ副所長オレグ・スクルキン氏は述べた。「皮肉なことに、この集団が得意とするバックアップ侵害という戦術が、彼らに逆行したのです。」

havebin.com を Google ニュース フィードに追加します。