The Hacker Newsは7月5日(米国時間)、「As New Clues Emerges, Experts Wonder: Is REvil Back?」において、ランサムウェア「REvil」が復活したことを伝え、その防御策を紹介した。悪名高いREvilの犯罪グループ逮捕から3カ月後に復活した可能性があると指摘している。
REvilは金銭の窃取を目的にさまざまな企業にサイバー攻撃を仕掛けたランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)。2021年10月に複数の国の法執行機関がREvilの主要なランサムウェア関連リソースを掌握し、匿名のTorサーバで行われていたダークネットキャンペーンを解体させることに成功。2022年1月にはロシア連邦保安庁(FSB: Russian Federal Security Service、ФСБ:Федеральная служба безопасности Российской Федер)によって14名のREvilメンバーが逮捕されている。
The Hacker Newsによると先日、サイバーセキュリティの研究者からREvilのサンプルと調査結果が提出されたという。発見されたすべてのサンプルは同一の作成日およびコンパイル文字列が示されており、おそらく同じ人物またチームによって作成されたものと見られている。このことからThe Hacker NewsはREvilが復活したのではないかと結論づけている。
The Hacker Newsでは、REvilのようなランサムウェアやサイバー犯罪者からWebサイトを保護する場合に打つべき対策として、以下を紹介している。
- 自動化されたWebアプリスキャナの使用と手動による侵入テストを実施する
- 定期的なセキュリティスキャンを実行するためのアンチマルウェア、アンチウイルスプログラムを導入する
- エンドユーザーと従業員にランサムウェアの脅威とその起動方法について教育する
- アプリケーションユーザーの「最小特権」の原則を有効にする
- サイバー犯罪の手口を認識する方法を教えるサイバー脅威啓発活動を導入する
- 送受信メールに添付された実行ファイルをダウンロードしない
- WAF(Web Application Firewall)を設定し、悪意のあるIPアドレスからのアクセスをブロックする
- 適切なSSL証明書をインストールするか、クライアントのセキュリティトークンを検証するログインプラグインを用いる
- 信頼できるサイバーセキュリティサービスプロバイダーのサポートを受ける
ランサムウェアによって顧客のデジタルID、サーバ、データファイルが盗まれることは多くの時間と費用を失うとし、サイバー犯罪者から自社のブランド、知的財産、個人情報や機密情報を確実に保護する必要があると伝えている。