世界各国の企業を荒らし回ったハッカー集団「REvil」のウェブサイトが政府機関に乗っ取られてオフラインに

テクノロジー企業やインフラへのランサムウェア攻撃で知られるロシアのサイバー犯罪組織「REvil」のウェブサイトが、アメリカや同盟国によるハッキング作戦によりオフラインになったことが報じられています。「REvil」は2021年7月に突如としてダークウェブから姿を消し、9月に復活したばかりでした。

EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline | Reuters
https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/

US, allied nations force REvil ransomware group offline: report | TheHill
https://thehill.com/policy/cybersecurity/577914-us-and-allied-nations-force-revil-ransomware-group-offline-report

ロシアを拠点とするハッカー集団のREvilは、台湾のPCメーカーであるAcerやブラジルの食肉大手JBS、マサチューセッツ州のフェリー会社であるスチームシップ・オーソリティなどをランサムウェアで攻撃し、身代金を要求したことで知られています。2021年7月にIT管理サービス「Kaseya」に仕掛けた大規模なサプライチェーン攻撃では、約1500社が影響を受けたとみられています。

REvilは盗み出した情報のリークと身代金受領のために、ダークウェブで「Happy Blog」というウェブサイトを運営していました。ところが、Kaseyaを攻撃した後に突如として「Happy Blog」が消失したことが報じられていました。

インフラを狙うロシアのハッカー集団のウェブサイトが謎の消失 - GIGAZINE

一時的にインターネットから姿を消したREvilでしたが、9月には再びHappy Blogがオンラインになったことが判明しました。当初は「REvilが自らオンラインにしたのではなく、法執行機関が何らかの理由で復活させたのでは」との推測もありましたが、その後REvilによるランサムウェア攻撃が発生したことから、この復活はREvilの意思によるものだったことがわかっています。

謎の失踪を遂げたハッカー集団「REvil」のダークウェブサーバーが突然の復活 - GIGAZINE

しかし、10月17日にはまたもやHappy Blogがオフラインとなりました。セキュリティ研究者のDmitry Smilyanets氏がダークウェブのハッカーフォーラムで見つけたREvilのオペレーター「0_neday」の書き込みによると、REvilの元メンバーだった「announ(unknown)」のキーを使ったアクセスによってサーバーが侵害され、Happy Blogがオフラインになってしまったそうです。

ロイター通信に情報提供した民間のサイバー専門家や元政府機関職員は、Happy Blogのオフライン化は連邦捜査局(FBI)やアメリカサイバー軍、諜報機関を含む複数国のチームによって実行されたと述べています。

FBIはKaseyaへの攻撃があった後にREvilにハッキングを仕掛け、ネットワークインフラの一部を制御することに成功したとのこと。7月の閉鎖はREvilがFBIの作戦に先んじて行ったものでしたが、0_nedayらは9月にHappy Blogを復活させる際に、すでにFBIが制御していた内部システムを利用して再起動させていました。これにより、FBIはHappy Blogを閉鎖することができたそうです。

ロシアのサイバーセキュリティ企業・Group-IBのフォレンジックラボで副責任者を務めるOleg Skulkin氏は、「REvilランサムウェアギャングは、侵害されていないことを前提として、バックアップからインフラストラクチャーを復元しました。皮肉なことに、被害者のバックアップを危険にさらすというギャング自身お気に入りの戦略が彼らに牙をむきました」と語っています。

今回の作戦について詳しい人物は、REvilのコンピューターアーキテクチャに侵入してハッキングを実行したのは、アメリカの同盟国のパートナーだとのこと。別の人物は、REvilに関する作戦は依然として進行中であると述べています。

FBIは今回の作戦についてのコメントを控え、ホワイトハウス国家保障会議の広報担当者も直接の言及は避けました。代わりに広報担当者は、「大まかに言えば、私たちは政府全体でランサムウェアについて取り組んでいます。これにはランサムウェアのインフラストラクチャーやアクターの破壊、民間セクターと協力した防御のアップグレード、ランサムウェアのアクターをかくまっている国に責任を取らせる国際的な連合の構築などが含まれます」とコメントしました。