出典:Alexander Culafi(Dark Reading経由)
有罪判決を受けたREvilの協力者が、ロシア政府が2021年のKaseyaに対するサプライチェーン攻撃を計画したと告発した。
Analyst1のチーフインテリジェンスストラテジストであるJon DiMaggio氏と、Trellixの脅威インテリジェンス責任者であるJohn Fokker氏は、8月9日にDEF CON 33でランサムウェア・アズ・ア・サービス(RaaS)ギャングREvilについて議論した。REvilはAcerや食肉加工大手JBS S.A.など、多くの大規模な被害者を出した悪名高いギャングだが、講演ではREvilによる最も悪名高い攻撃、すなわちリモートIT管理ソフトウェアとサービスを専門とするKaseyaに対する2021年7月のランサムウェア攻撃が取り上げられた。
REvilはKaseyaのリモート監視ソフトウェアVSAの脆弱性を狙い、サプライチェーン攻撃を仕掛け、1,000社以上の企業が被害を受けた。
同年11月、米国司法省(DOJ)は、ロシア国籍のYevgeniy PolyaninとYaroslav Vasinskyiという2人のREvil関係者とされる人物に対する文書を公開した。後者のVasinskyiはその前月、ポーランドで逮捕されていた。
DEF CONのセッション「Ghosts of REvil: An Inside Look with the Hacker Behind the Kaseya Ransomware Attack」は主にVasinskyiに関するもので、彼は2022年初頭に米国へ送還された。2024年、彼は13年以上の懲役刑と1,600万ドル以上の罰金を言い渡された。これはDOJの表現によれば、「2,500件以上のランサムウェア攻撃を実行し、7億ドル以上の身代金を要求した役割」に対するものだ。
REvilの内部事情
Fokker氏はREvilの活動概要から話を始め、同グループが2019年にGandCrabランサムウェアグループの後継として誕生したことを説明した。GandCrabが約150人の協力者を抱えるようになり、運営規模が大きくなりすぎたため、GandCrabで最も稼いだメンバーを支援する新グループとしてREvilが設立された。
現在は解散しているREvilは、シンプルなランサムウェア・アズ・ア・サービスモデルを採用しており、上位5人の管理者が常時40人の協力者を支援していた。Fokker氏によれば、協力者になるには「厳格な」面接に合格し、REvilにふさわしい人物であることを証明する必要があったという。
「正直に言うと、私たちも応募しようとしたんです」とFokker氏は語った。「でもロシア語が十分にできなかったので、追い出されました。」
REvilは大規模攻撃で知られていたが、個人消費者も標的にしていた。身代金が支払われると、ギャングの運営陣と実行した協力者で分配された。
このセッションでは、ギャングが成功した理由として、メール交渉ではなく専用のコミュニケーションプラットフォームを早期に導入したこと、盗んだデータを公開するリークサイトの先駆的な利用(現在はランサムウェア業界の標準)、安定したマルウェアと復号ツール(「暗号化したなら約束を守る必要がある」とFokker氏)、厳格な協力者選定、資金洗浄など一部機能の外部委託などが挙げられた。
他のギャングと大きく異なる点として、「運営管理が優れていた」ことも挙げられた。
「人に支払うべきものを払えば信頼は続くが、払わなければ裏切られる」とFokker氏は語った。REvilは協力者とそのキャンペーンをIDで管理する詳細な会計システムを持っていた。
REvilは最終的に崩壊し、2021年10月21日の国際的なインフラ摘発作戦から始まった。2022年1月には、ロシアがREvilの解体と複数メンバーの起訴を発表した。
Vasinskyiの証言
話はさらに奇妙な展開を見せる。というのも、今年2月、DiMaggio氏のもとに連邦刑務所からVasinskyiを名乗る人物から連絡希望のメールが届いたのだ。VasinskyiはREvilのオペレーターで、13年以上の刑に服している。
当初、Vasinskyiはより広い影響力を持つジャーナリストと話すつもりだったが、DiMaggio氏の技術的知識とサイバー犯罪フォーラムに関する過去の調査により、両者は現在も続く信頼関係を築いた。セッション中、DiMaggio氏は「このセッション終了30分後にVasinskyiと話す予定だ」とも述べた。
サイバー犯罪者の言葉を鵜呑みにすることはできないが、DiMaggio氏は参加者に対し、REvil関係者とのやり取りの全記録をその日にAnalyst1で公開したレポートで確認するよう促した。
「犯罪者が語ることを理解するのは非常に価値があると思う。彼はもはや失うものがほとんどない。私に嘘をつく理由も特にない。仮釈放の可能性もない」とDiMaggio氏は語った。
DiMaggio氏によれば、Kaseya攻撃後、当時のバイデン大統領は「ロシア政府が関与していた場合、米国は対応する」と述べたが、「皮肉なことに、Vasinskyiが最初に私に語ったのはロシア政府の関与だった」という。
Vasinskyiによれば、ロシア政府は関与していただけでなく、標的の選定や攻撃の指揮も行い、Vasinskyiは関連するゼロデイ脆弱性の作成を担当したという。なお、ロシアはKaseya攻撃におけるサイバー犯罪行為について一切認めていない。
「Vasinskyiは自分の攻撃への関与は否定しない。だが、実行したのは自分ではないと主張している。彼によれば、すべてを準備し、ネットワークに侵入し、段取りを整えたが、実際にランサムウェアのペイロードを実行したのは自分ではない」とDiMaggio氏は語った。「Vasinskyiによれば、それを実行したのはロシア政府であり、もしこれが本当なら非常に重大なことだ。」
VasinskyiがDiMaggio氏に語ったところによると、ロシア政府の動機は金銭目的ではなく、攻撃による混乱で下流のシステムを麻痺させ、ロシアが重要インフラにアクセスできるようにすることだったという。
ウクライナ国籍のVasinskyiは、ポーランドへの国境越えの際に逮捕された。その後、ロシア情報機関とされる人物から本人や家族に対する脅迫があったとされている(前述のレポートに詳細あり)。
DiMaggio氏はセッションを次のような観察で締めくくった。Vasinskyiは犯した罪で有罪判決を受けたが、「突然、REvilのリーダーシップを追及しなくなった」。REvilの管理者に対する新たな起訴や名前の公表はない。
「私は悪人を追い続けるべきだと強く信じているが、1人捕まえたからといって終わりではない。彼はロシアにいなかったから捕まえやすかっただけで、まるでトロフィーを手にしたようなものだ」とDiMaggio氏は語った。「彼が刑務所にいるべきでないとは言わない。だが、我々が追うべきはリーダーシップ、つまりこれらの計画を立てた人物たちだ。」