REvilグループのメンバーの逮捕によるその後の活動につい

2022/01/29 セキュリティーニュース
logo

情報セキュリティ会社ReversingLabsによると、最近REvil(Sodinokibi)サイバー犯罪者グループの容疑者が逮捕されたにもかかわらず、その活動は少なくとも減少していません。


FSBが「米国の要請により」REvilを清算したと発表してから2週間が経過しましたが、RaaSサービス(ランサムウェアサービス)は依然として繁栄しています。専門家によると、14人の容疑者の逮捕はその活動のペースに影響を与えなかった。


2021年11月、Europolは、REvilおよびGandCrabランサムウェアを使用したサイバー攻撃への関与の疑いで7人を逮捕したと発表しました(逮捕は7か月以内に行われました)。 当時、ReversingLabsは1日あたり平均47件の新しいREvil感染(1週間あたり326件)でした。


この数値は、REvilが突然オフラインになった9月(1日あたり43感染-1週間あたり307)および10月(1日あたり22感染-1週間あたり150)と比較してはるかに高いですが、7月(1日あたり87感染 –週あたり608)と比較すると大幅に低くなっています。


ロシアでのグループの疑惑のメンバーの最近の逮捕以来、1日あたりの新たな感染の数は24(週あたり169)から26(週あたり180)に増加しました。


REvilに対する調整された法執行措置は、RaaSに短期的な影響しか及ぼさない可能性があります。 したがって、サイバー犯罪グループを完全に根絶するためには、パートナーが攻撃を実行し、被害者から身代金を受け取るというサービス構造を考えると、はるかに厳しい対策が必要になります。


言い換えれば、パートナーのみを排除してもRaaSのバックボーンには何の影響も及ぼさず、グループは何も起こらなかったかのように業務を継続します。 一方、バックボーンのみが削除された場合でも、パートナーはサービスを再作成するか、別のRaaSの使用に切り替えることができます。