アバストがサポートするのは最新のブラウザです。このウェブページのコンテンツを正しく表示するには、ブラウザをアップデートしてください。

自社のビジネスに最適なソリューションをお探しですか?

Sodinokibi(REvil)ランサムウェアとは?

2019年に初めて確認された Sodinokibi(REvil または Ransomware Evil とも呼ばれる)は、ロシアに拠点を置くと考えられる民間のランサムウェア アズ ア サービス(RaaS)事業として開発されたものです。Sodinokibi は、最初の 4 か月間で 4 番目に多いタイプのランサムウェアとなり、その広範囲性と効率性が、またたく間に知られることとなりました。

RaaS アプローチによる配布は、多くの人がランサムウェアのコードにアクセスできることを意味し、その結果、多岐に渡る亜種が生まれ、スパムやサーバー攻撃など、さまざまな方向からますます攻撃的になってきています。このため、ランサムウェアの中でも特に危険な形態と言えます。

本記事では、Sodinokibi の起源、動作方法、およびそれに対してネットワークを保護するために何ができるかを見ていきます。

アバスト ビジネス ハブを 30 日間無料でお試しください

すべての企業は、最高水準のサイバーセキュリティを受ける価値があります。アバスト ビジネス ハブをダウンロードし、30 日間リスクなしでお試しください。

Sodinokibi/REvil ランサムウェアとは?

Sodinokibi は、ランサムウェア アズ ア サービス(RaaS)形式で提供されます。つまり、ランサムウェアの配布にはアフィリエイトが利用され、身代金の支払いで得た金銭を開発者とアフィリエイトが折半する仕組みになっています。これは、全世界のランサムウェア感染の 40 %にも及ぶとされる悪名高きハッキング グループである DarkSide や GandCrab の既知のコードと類似しています。

ウイルスは通常、フィッシングの手法で配布され、ユーザーを騙してメールの添付ファイル、文書、スプレッドシートを装った悪意のあるファイルを開かせます。

この種のマルウェアの狙いは、大規模な組織や公人に対する高額のランサムウェア攻撃で、多額の身代金を奪い取ることと、グループ自身のブログで個人情報を公開することの両方を意図しています。Sodinokibi は、以下のようにサイバー犯罪者に利用されてきました。

Sodinokibi ランサムウェアの背後にいるのは誰ですか?

このランサムウェアの作成者の出所は、なかなか特定されません。当初はアジアが中心だったようですが、やがてヨーロッパでも攻撃が発生するようになりました。攻撃されなかった地域の一つはロシアだったため、この地域がマルウェアの発生源であることが示唆されました。

17 か国が参加した作戦により、Soninokibi/REvil に関連する 5 人の容疑者が逮捕されました。2022年1月、ロシア当局が同グループの解体を発表しました。

これは明るいニュースですが、脅威が去ったというわけではありません。このランサムウェアの配布スタイルや作成者と他のグループとの関係から、Sodinokibi のコードは、新しい攻撃方向を標的にするために使用または修正される可能性が残っています。

Sodinokibi ランサムウェアの仕組みは?

Sodinokibi ランサムウェアの主な課題として、その検出が挙げられます。そのコードの多くは偽装または暗号化されているため、アンチウイルス スキャナで識別することは困難です。つまり、潜在的な脅威を早期発見するには、研修、ベスト プラクティス、ソフトウェアを組み合わせた、マルチレイヤかつ総合的なセキュリティ戦略を確立することの重要性が強調されています。

本セクションでは、ランサムウェアの仕組みをユーザーがより理解できるように、攻撃のプロセスを詳しく見ていきます。

その他の有名なランサムウェアについては、Phobos および WannaCry に関するガイドをご覧ください。

1.ランサムウェアの初期化

攻撃は、ランサムウェアがターゲットのエンドポイントで実行されている唯一のプロセスであることを確認することから始まります。そして、セキュリティ パッチの未導入によって引き起こされる脆弱性を特定するためのエクスプロイトを実行します。これが完了したら、次はそのアクセス権を変更して、完全な管理者権限を獲得します。その後、Admin モードで再起動します。

そして、言語 ID のスキャンを行います。コードには、ランサムウェアが東欧諸国のエンドポイントを攻撃しないように、デバイスの言語によって国を識別する例外リストが含まれています。この情報により、捜査当局はハッカー集団がロシアから操作を行っていることを突き止めました。

次に、Windows のバックアップ システム(シャドー コピー)内のファイルを削除し、ブート ポリシー エディタを使用してリカバリ モードを無効にします。そして、バックアップ フォルダをスキャンし、削除および上書きして、復元を不可能にします。

1.ランサムウェアの初期化

2.キーの生成と交換

暗号化キーは、一般に公開されるものと、攻撃者が持っているものとでペアで作成されます。両方のキーがなければ、盗まれたデータを復元することはほぼ不可能です。Sodinokibi は、Elliptic-curve Diffie-Hellman (ECDH)と呼ばれるキーの生成と交換アルゴリズムを採用しています。

2.キーの生成と交換

3.暗号化

Sodinokibi は、2 通りの暗号化を使用しています。

  • AES は、秘密キーの暗号化とネットワーク上でのデータ転送に使用されます。
  • Salsa20 は、ユーザー ファイルの暗号化に使用されます。

ユーザーの文書は、例外マークがついていないすべてのファイルから収集され、Salsa20 で暗号化され、ファイルごとに固有のキーが生成されます。ランサムウェアは、影響を受ける各ファイルにファイル拡張子を追加するため、どのファイルが暗号化されたかが明らかになります。

この操作により、攻撃者のサーバーに配信するためのデータが準備されます。

3.暗号化

4.要求

ファイルが暗号化されると、身代金請求書が作成され、同じフォルダに格納されます。このプロセスは、暗号化されたファイルを含むすべてのフォルダに対して繰り返されます。これを行うテンプレートが Sodinokibi ランサムウェアに含まれており、ユーザーの ID やキーなどの関連情報が自動的に更新されるようになっています。

4.要求

Sodinokibi 復号化

身代金請求書には、ユーザーがデータを復元する手順の詳細が記載されています。これには、TOR ブラウザをインストールし、独自のリンクにアクセスしてキーを入力することが含まれます。

身代金の詳細が提示されるのは、このページです。ユーザーは、復号化ソフトをダウンロードするために金銭を支払わねばならず、支払い期限を提示されます。期限を守らない場合は、身代金が 2 倍に跳ね上がります。支払いは、ビットコインで要求されます。

4.要求

2021年9月、米国のサイバーセキュリティ企業と法執行機関が、2021年7月13日以前に攻撃を受けたあらゆる企業にファイルを戻すことができる無料の汎用復号化キーを作成したことが発表されました。しかし、この日よりも後に行われた暗号化にはキーの効力が保証されないため、さらなる攻撃からビジネス データを守るには、ランサムウェア プロテクション ツールが不可欠です。

REvil 攻撃からの防御

このように、ランサムウェアは多様で危険な形態であるため、ビジネス ユーザーは、Sodinokibi/REvil ランサムウェア攻撃の脅威から、ネットワークとデバイスを確実に防御する必要があります。必要不可欠なステップは以下の通りです。

  • 定期的なシステム更新。脆弱性はシステムへの侵入経路となるため、パッチや修復、アップデートが利用可能になり次第、適用することが重要です。
  • 従業員へのサイバーセキュリティ研修の実施。データ侵害の主な原因の一つは人為的ミスです。ビジネスのあらゆるレベルの従業員に研修を行うことで、これを防止しましょう。アバスト ビジネス サイバーセキュリティ クイズと学習リソースは、トピックに関する基本的知識を評価し、さらなる研修が必要な領域を特定するために役立ちます。
  • データのバックアップ。ランサムウェアは、その名の通り、データを盗み出し、持ち主に売り戻すことを目的とした攻撃です。遠隔地から安全にバックアップを取ることで、万が一の場合でも重要なデータや文書を安全に保管し、アクセスできます。
  • アクセス権限を付与する人物の制御。アクセス権限は、直接アクセスが必要な人のみに付与されなければなりません。全社的な権限を監査し、管理者権限が最小限に保たれていることを確認することで、ユーザー アカウントが侵害された場合におけるネットワーク制御へのアクセスを低減できます。
  • セキュリティ ベスト プラクティスの導入。ビジネス データを保護するもう一つの方法は、セキュリティのベスト プラクティスを確実に実行することです。これには、強力なパスワードの要求、疑わしい活動にフラグを立てるプロセス、デバイスの更新と安全性を確保するためのリモート ワーク契約などが含まれなければなりません。その一環として、ランサムウェア プロテクション ソフトウェアとマルウェア スキャナを、ビジネス ネットワークに接続されたすべてのエンドポイントに導入し、ランサムウェアの検出と駆除を支援する必要があります。
  • 定期的な点検と脆弱性評価の実施。イベント ログは定期的にチェックし、営業時間外に活動が多いなど、異常な活動を素早く発見して評価できるようにする必要があります。
  • 対応策の用意。災害対策はビジネスを守るための重要な要素であり、それはデジタルの世界にも及んでいます。攻撃訓練の定期的な実施、ランサムウェア攻撃時における連絡先周知、攻撃後もビジネスを継続できるようなビジネス継続計画(BCP)の策定を徹底しましょう。

Sodinokibi ランサムウェアから身を守るために

Sodinokibi/REvil ランサムウェアの背後にいるグループのメンバーは、2022年1月に逮捕されたかもしれませんが、彼らのマルウェアは多くのマルウェアの一つに過ぎません。中小企業向けの統合されたクラウドベースのセキュリティ プラットフォームであるアバスト ビジネス ハブで、幅広い攻撃から会社を守りましょう。

閉じる

もうすぐ完了です!

ダウンロードしたファイルをクリックし、指示に従ってインストールを完了します。

ダウンロードを開始中...
注意:ダウンロードが自動的に始まらない場合はここをクリックしてください。