REvilは、RaaS（サービスとしてのランサムウェア）を行っているロシア系^[1]のハッカーグループで^[2]、世界で最も活発に活動し、利益を上げているサイバー犯罪カルテルの一つとされている^[3]。 別名「Sodinokibi」（ソディノキビ）とも呼ばれている^{[注 1][4][5]}。 REvilというグループ名の由来はRansom Evilの略であることがメンバーによって明かされている^[6]。日本語の読み方は「レビル」^{[7][8][9][10]}「レヴィル」^[3]「リービル」^[11]「リーヴィル」^[12]「リビール」^[4]「Rイーブル」^[13]など表記が揺れている。

REvilは世界で最も活発に活動し、被害を出しているハッカー集団の一つであるとされており^[3]、日本IBMのサイバーセキュリティの動向をまとめた年次レポート「IBM X-Force脅威インテリジェンス・インデックス2021」によると、ランサムウェアの種類別ランキングで「ソディノキビ」が22％で1位だった。2位の「Nefilim（ネフィリム）」は11％で、2倍近い差をつけている^[14]。

レポートではソディノキビによって「過去1年間で1億2300万ドル（約133億円）以上」の被害があり、攻撃を受けた企業の約2/3が身代金の支払いに応じた、と分析している^[14]。グループのメンバーもインタビューで年商100億以上だと豪語している^[15]。アメリカ司法省によると被害はさらに広がり、2021年10月の時点で世界の17万5000台のコンピューターが被害を受け、2億ドル（約226億円）の身代金が支払われているという^[16]。

ランサムウェアの開発グループは10人以下^[15]。開発グループと、攻撃を仕掛けるグループはそれぞれ別の組織で、開発グループが複数の攻撃グループにランサムウェアを提供し、次々に企業のネットワークを攻撃させる^[15]。

REvil(Sodinokibi)は、C言語で作成されている^[6]。他のランサムウェアと比べ優れている点は、暗号化システムと言われている^[6]。ファイルの暗号化にcurve25519/Salsa20、鍵の暗号化にはcurve25519/AES-256-CTRを使用している。開発者たちは、現時点で最高の暗号化システムだと自画自賛している^[17]。

またアンチウイルスソフトやその他の手法による検知を防ぐ手段を数多く使用するため、検知するのも難しいと言われている^[18]。 多くのアンチウイルスソフトがSodinokibiの初期ペイロードを「悪意あるもの」として警告しないため、検知されずに通過され防御の第一層を簡単にバイパスしてくる^[18]。

その他の特徴として、MazeやLockbitには無い、Elliptic Curve Cryptography（楕円曲線暗号）やトリプルサーキット（ファイル・キー、システム・キー、アフィリエイト・キー）を持っている^[6]。

REvilは被害者のネットワークからデータを盗みだし、ネット上に流出させると脅す（REvilの場合はオークション形式で販売する）^[19]。REvilが情報を暴露するブログは「Happy Blog」（ハッピーブログ）と呼ばれている^[9]。

さらにファイルを暗号化し使用不可能にもする。デフォルトのWindowsバックアップメカニズム（シャドウコピー）や^[20]、NASやテープといったバックアップファイルを削除し、自力では復旧できないようになる^[6]。暗号化されたファイルを復号するツールを受け取るには身代金を支払わなければならない^[21]。この様な手法は「二重脅迫型」と呼ばれている^[19][22]。

REvilは攻撃する対象を決めてから狙う「標的型攻撃」を行う。2017年5月にWannaCryというランサムウェアが猛威を振い、150か国の23万台以上のコンピュータに感染した。しかしREvilは「WannaCryは非常に愚かで、かつ管理不能な実験だった」と酷評している^[6]。理由は「大きな騒ぎを起こして、利益が10万ドルにも満たないというのは滑稽である」と商業的な失敗を挙げた^[6]。ランサムウェアSodinokibiは、RCE（リモートコード実行）を使ったエクスプロイトがないため、ワームのように、外部ネットワークの他のパソコンに自動的に感染することはないが^[6]、大量に感染させても（身代金的には）旨味がなく、金銭的に余裕のある大企業のみをピンポイントで狙った方がはるかに効率的だという。

REvilはRaaS（サービスとしてのランサムウェア）と呼ばれるスキームを採用しており、被害者毎に固有のBTCウォレットを生成する^[23]、自分たちの開発したランサムウェアを配布するアフィリエイトを募集している。この取り決めの一環として、奪った身代金で得た収益をREvilとアフィリエイト利用者で分配する^[24]。

セキュリティ企業マカフィーがREvilのビットコインの流れを分析したところ、金額の一部がウォレットから転送されるか、取引所で購入され、アフィリエイト・ウォレットに転送される。ビットコインミキサー「Bitmix.biz」は次のトランザクションを難読化して、追跡を困難にしている^[23]。「調べると非常に興味深いパターンを発見できます。まず、指定ウォレットに犠牲者が支払っている事が確認できます。そこからアフィリエイター、またはディストリビューション・ウォレットに送られるまで、平均2〜3回のトランザクションが発生しています」^[23]。さらに「そのウォレットから分割が確認できます。60％または70％はアフィリエイトに留まり、残りの40～30％は複数回のトランザクションでSodinokibiの背後にいるアクターに送られます」とし、報酬が分配されていることが確認されている^[23]。

この分配比率に関してREvilは「主要な仕事をするのはランサムウェアを感染させる人物であり、ソフトウェア自体は単なるツールである。このような配分は妥当だと思う」と、アフィリエイターの方が多く受け取るのは当然だとしている^[6]。身代金は開発者が最初に受け取り、システムによって自動的に分配される^[6]。

アフィリエイターではなく、開発者たちが攻撃することもあるという。しかし、結果的にRaaSモデルの方が儲けを出し、最終的により多くの利益を出すことができるため外部の人材を利用している^[6]。

ただアフィリエイターになるには「選択のプロセスは非常に厳しく、疑わしい、もしくは見慣れない候補者は、我々のコミュニケーションツールに加えることすらない」と審査の厳しさを語っている^[6]。

過去にはNSAやCIAといった秘密機関がパートナーを装って接触してきた事もあったが、そのような人々は、旧ソ連諸国に共通な社会政治的な議論を通じたチェックで容易に特定できたという。中にはロシア語話者もいたが、この仕事に関する特定の側面に話が及んだ際に、回答はあてずっぽうだったため、即座に拒否したという^[6]。

REvilの正確な所在地を特定することは困難だが、グループがロシアの組織や旧ソ連圏の組織を標的にしていないという事実から、彼らはロシアに拠点を置いていると考えられている^[25]。

グループ全員がロシアで活動しているかどうかは明らかでないが、同グループの表向きの顔であり、サイバー犯罪フォーラムXSS上で「アンノーン」と呼ばれるユーザーはロシア語だけで発信しており、やはりロシアに関係が深いと推察される^[9]。

専門家は、このハッカー集団がロシアの情報機関の庇護を受けていると分析しており^[26]、サキ大統領報道官は「責任を負う国が行動を取るべきだ。米国は幅広い対応策を検討する」とし、ロシア側にハッカー集団の取り締まりなどの対応を取るよう圧力をかけている^[26]。

ロシア政府とハッカー集団との協力関係の証拠はまだ示されていないが、プーチン大統領にとってプラス要因になっていると指摘する声もある。相次ぐロシア系ハッカーの攻撃で、ガソリン価格や食料品の価格が高騰し、米国民の不満が一層高まれば、バイデンの支持率低下や政権の弱体化に追い込むことが可能だからだという^[11]。

本人たちは「我々は政治に無関心だ。我々が必要としていたのは金銭だけであり、政治ではない。我々にとっては、誰が次期大統領になろうが関係ない」と活動に政治的思惑はないと否定している^[6]。

2019年

REvilの活動が初めに確認されたのは2019年4月とされる^[18][27]。 サイバーセキュリティの専門家は、REvilはハッカー集団「GandCrab」から派生したものであると考えている^[28]。GandCrabはかつては世界的な全ランサムウェア感染の40%を占めていたこともある悪名高い組織^[18]。GandCrabのオペレーターは2019年5月に「1年ちょっとで十分なお金を稼いだし悪事を働いても逃げおおせると証明できた」と引退を表明したが^[18][29]、その前後にREvilが活動を開始したことや、両グループのランサムウェアにかなりの類似点があることなどから関連性が疑われている^[27][18]。例えば、攻撃から除外するホワイトリスト、韓国のセキュリティ企業アンラボなど特定の企業をプロセスインジェクションの標的としていること、感染したマシンの情報を送信するC&CサーバーのURL生成ルーチンにおける類似性などである^[18]。GandCrabの作者の一部がREvilにブランド名を変更し、ランサムウェア開発を続けているものと考えられている^[29]。

マカフィーによれば、SodinokibiとGandCrabの2つの間に全体で40％のコードのオーバーラップがあり、「構造と偶然の観点から見れば、GandCrabコードの開発者がそれを新しいファミリーを作成するためのベースとして使用したか、もしくは別の仮説としては、リークされたGandCrabソースコードを入手した者が新しいRaaS Sodinokibiを立ち上げたと考えられます」と推察している^[30]。

REvil自身はインタビューで「以前、我々はadvertsに似たようなランサムウェアを使っていたが、同ソフトウェアはなくなってしまった。我々はそのコードを購入し、我々の目的のために独自の製品を作り出した」と創設の経緯について語っている^[6]。

2020年

4月、ソディノキビはハッカーフォーラムへの投稿で、身代金として要求する仮想通貨をビットコインから特定がより困難なMoneroへと移行すると通知した^[31]。 ユーロポール（欧州刑事警察機構）のジャクベックは2月のセミナーで、「容疑者がTORとプライバシーコインを組み合わせて利用していたので、我々はIPアドレスを追跡できなかった。つまり行き詰った。ビットコインのブロックチェーン上では何が起ころうとも可視化できるので、さらなる捜査が可能だった。しかし、モネロのブロックチェーンは、そこが捜査の終了地点となった」と語り、Moneroがビットコインやイーサリアムより匿名性が高く、犯罪者らが資金を移動させる可能性があると説明している^[31]。身代金はビットコインでの支払いも受け付けているが、その場合はモネロより10%金額が上乗せされる^[17]。

8月に活動が確認されたダークサイドは、REvil が使用しているランサムウェアコードとの類似性が指摘されており、REvilから派生したグループまたはパートナー関係にあると見られている^[32][33]。

2021年

5月14日、アメリカの大手石油パイプライン「コロニアル・パイプライン」を操業停止に追い込んだダークサイドが活動を停止した。5月17日、米政府の圧力が強まる中、ハッカー集団AvaddonとREvilは、政府機関、非営利団体、医療機関への攻撃を中止する方針を示した^[34]。 しかしサイバーセキュリティ会社レコーテッド・フューチャーは「新型コロナウイルスの流行初期にも、ランサムウエア攻撃を仕掛ける一部のハッカー集団が、特定の機関を攻撃対象外とすると宣言したが、長続きはしなかった」と語るなど、信憑性には疑問が持たれている^[34]。

6月7日、FBIおよび司法省は、ダークサイドに支払われた身代金75BTCのうち、約85％にあたる63.7BTCを回収したと発表した^[35][36]。

7月2日、REvilはKaseyaを攻撃。数日後に犯行声明を出すも、13日には同グループのサイトは全てがダウンして繋がらない状態となっている^[37]。^[38][39]。

9月、再びHappy Blogが復活した。当初は、REvilが自らオンラインにしたのではなく法執行機関が何らかの理由で復活させたのでは、との見方もあったが、その後REvilによるランサムウェア攻撃を再開し完全に復活した^[40]。活動再開に貢献したのは、リーダー格である「0_neday」とされる^[41]。

10月21日、民間企業VMware、連邦政府機関と協力しREvilが使用していた「Happy Blog」を停止に追い込んだと発表した。VMwareのセキュリティ戦略責任者は「米連邦捜査局とその他の連邦政府機関、そして志を同じくする国々が、このグループによってさらなる企業に被害が拡大することを防いだ」と述べた^[41]。実際にREvilに対しハッキングを実行したのは、アメリカの同盟国のパートナーだったという。さらに別の関係者によると、REvilに関する作戦は依然として進行中であるとも述べている^[40]。 「0_neday」はダークウェブ上のハッカーフォーラムで、REvilの元メンバーだった「announ(unknown)」のキーを使ったアクセスによってサーバーが侵害されたとコメントしている^[40]。

11月8日、欧州刑事警察機構は数千件のランサムウェア攻撃を行ったとする7人の犯罪者を逮捕したと発表した。これは17カ国が参加する「GoldDust作戦」によって行われ、ルーマニア当局はが4日にSodinokibi／REvilに関わる2人を逮捕、同日クウェート当局が「GandGrab」関係者を逮捕、また2月と4月に韓国当局もREvil関係者3人を逮捕していたという。今回のGoldDust作戦は、 Bitdefender、KPN、マカフィーなどのセキュリティ企業も協力し、Bitdefenderは暗号化されたファイルを復号するツールを提供。これにより1400以上の企業が復号に成功し身代金を払わずに済んだという^[42]。

同日、アメリカ司法省がウクライナ国籍とロシア国籍の2人を起訴した。ウクライナ国籍の被告は7月にREvilを使用しKaseyaを攻撃、1500人に身代金を要求した疑いが持たれている^[16]。手に入れた身代金は開発グループと被告らで分け合っていたが、当局は支払われた身代金600万ドル（約6億9千万円）を押収した。またアメリカ財務省は、ランサムウエア攻撃に加担したとして暗号資産取引所「Chatex」に制裁を科すと発表した^[43]。

2022年

1月14日、ロシア連邦保安庁(FSB)がREvilのメンバー14名を拘束したと発表した。これはアメリカ当局の要請を受けたもので、FSBは25カ所の関係先を捜索し、4.2億ルーブル（約6.3億円）相当の暗号資産やコンピューター、高級車などを差し押さえた。メンバーの1人は、2021年5月のコロニアル・パイプラインの事件にも関わっていたとされる^[44]。

2019年8月、テキサス州内の約20の地方自治体への一斉攻撃に関与したとみられている^[3]。原因の1つとして利用していたマネージドサービスプロバイダ(MSP)の侵害が推測されている^[45]。

2019年8月29日、クラウドサービスを行うIT企業のThe Digital Dental Recordは、8月26日8時にランサムウェアの攻撃を受けたことを公表した。同社はPerCSoftと共同で「DDS Safe」という歯科医向けのクラウドサービスを展開しており、これを経由して医療データのバックアップに使用しているリモート管理ソフトウェアが攻撃を受けた。利用しているアメリカの歯科診療所約400カ所がシステムが使用できなくなるなど被害を受けた。皮肉なことに、DDS Safeは「ランサムウェアから医療データを守る」と宣伝されていたクラウドサービスだった^[46]。

REvilからは、身代金として1万ドル(約106万円)を支払うよう指示するメッセージと、遅れると48時間ごとに身代金が2倍になるとの脅迫が添えられており、PerCSoftが既に身代金を支払ったという^[46]。送られてきた暗号化解除キーで100カ所の歯科診療所が一部のファイルを復元することに成功したが、ファイルを復元できなかった例も多数あるという^[46]。

2019年12月25日、ニューヨーク州のオールバニー国際空港（英語版）は、ランサムウェア攻撃を受けたとの声明を発表。後にSodinokibiの亜種であることが確認された。幸いにも個人データと財務データは難を免れ、空港のオペレーションにも大きな混乱を引き起こすことはなかった^[45]。

ハッカーは空港が利用するMSPである「Logical Net」のネットワークへ侵入し、そこからランサムウェアが一気に空港のネットワークおよびバックアップサーバへと広がった。事件から5日後、空港の保険会社は身代金を支払ったが、当局によれば、その金額は6桁未満であったとされている^[45]。

2019年12月、イギリスを本拠地とする外国為替会社トラベレックスは、ランサムウェア被害に遭い業務を中断させられた。Sodinokibiは6か月前からトラベレックスのネットワークにアクセスしていたと主張しており、その間に顧客のクレジットカードの情報、国民保険番号、生年月日を含む5GBの機密データを盗み出した。最初の身代金額は300万ドルだったが、支払われなかったためその2日後には600万ドルに倍増した^[27]。

セキュリティ研究者によると、従業員が中央コンピュータシステムにリモート接続するために使用したPulse Secure仮想プライベートネットワーク（VPN）サーバーで見つかったセキュリティ問題の脆弱性を悪用し侵入した可能性があるという^[27]。

REvilは後にインタビューで見習うべきではない例としてトラベレックス社を挙げてる。「自分が記憶している限りでは、同社は我々から攻撃を受けた後に株価が急降下した結果、破産した（2020年7月、同社は債務の再構築を発表）」^[6]。

2020年5月11日、ニューヨークを拠点とするメディア・エンターテイメント専門弁護士事務所グラブマン・シャイア・メイゼラス＆サックスに攻撃を仕掛け、契約書や機密合意書、電話番号、Eメールアドレス、裁判所記録、私的なメールといった社外秘の情報約1テラバイトの情報を盗んだ^[47]。 公開されたくなければ身代金を支払うよう要求したことでグループ名が知られるようになった^[48][49][50]。

被害に遭ったのは同社と契約しているアメリカの有名人たちで、レディー・ガガやマドンナやニッキー・ミナージュ、ブルース・スプリングスティーン、HBO番組「ラスト・ウィーク・トゥナイト・ウィズ・ジョン・オリバー」やフェイスブックも含まれているという^[51]。

ニューヨーク・ポストによると、REvilは2100万ドル（約22億4300万円）を要求しているが、同弁護士事務所はハッカー集団との交渉を拒否しているとも^[51]、36.5万ドル（約4000万円）なら支払うと交渉していたとも報道されている^[12]。だがあまりの安さに怒ったのか倍の4200万ドル（約45億円）に増額。結局交渉は合意に至らず、REvilは「時間切れ」としてじょじょにデータを公開し始めた^[12]。

歌手のレディー・ガガの場合は関連する合計2.4GBの法的文書が盗まれており^[52]、ドナルド・トランプに言及したり、「trump」という単語を含む「無害」な電子メール169通が公開された^[53]。彼らは、マドンナの情報をオークションで1億円から販売するつもりでいたが^[12][54]、結局それは断念した^[55]。

2020年5月、REvilはグラブマンから盗んだデータを調べているうちにドナルド・トランプ大統領に関する重大な秘密を得たと発表。犯行声明では「次に公開しようと考えているのはドナルド・トランプだ。選挙戦の最中に公表されると恥ずかしいだろうと思われる大量の情報を発見した。大統領の座に居座りたいなら、マシな対応をしなければ、お前の野心は永遠に失われることになるだろう。そして有権者の諸君は、もしこの情報を見れば彼に大統領で居続けてほしいとは思わなくなるだろう。まあ細かいことは省くとして、期限は一週間だ」とし^[12]、4,200万ドルを要求した^[56][57]。REvilは、同社がデータを保護するために使用していた楕円曲線暗号を解読してこれを行ったと主張した^[58]。メンバーとされる人物のインタビューによると、トランプの情報の買い手が見つかったとのことで、データの公開は行わなかった^[12][59]。

後のインタビューで、身代金を要求していたのはトランプ大統領ではなくグラブマンに対してで、データの内容はトランプ大統領の子会社による税金回避の様々なスキームに関するものだったという^[6]。

2020年9月、チリの大手銀行BancoEstado銀行で従業員が不審なファイルを開けたことがきっかけでマルウェアが仕込まれ、全ての支店を閉鎖することを余儀なくされた。銀行側は沈黙を貫いたが、REvilが「我々がその攻撃を仕掛けた。企業が攻撃元について口を閉ざすことはよくある。企業にとって評判は重要だ。特に、それは株価の値下がりに影響を与え得る」と犯行を名乗り出ている^[6]。

2021年3月18日、REvilの関連グループが、多国籍ハードウェア・エレクトロニクス企業であるAcerの顧客データベースに侵入し、口座番号や与信限度額データを盗みだし、さらにランサムウェアを仕込んだとダークウェブ上にの自分たちのリークサイトで主張した。暴露されたデータには取引先とみられる多数の日本企業名も記載されていた^[1]。

サイバーセキュリティ企業であるAdvanced Intel社は、2021年3月5日からAcerのサーバーが狙われている最初の兆候が見つけた。犯行の手口はマイクロソフトのメールサーバー「Exchange Server」の脆弱性を利用したとされる。2021年 Microsoft Exchange Server データ流出（英語版）も参照。

システムを暗号化され、復号と盗んだファイルを削除するには5000万ドルを支払えと要求した。Acerの幹部と犯行グループの間の交渉チャット履歴では、Acerが3月24日までに支払いを行う場合、20％の値引きに応じるとREvilらが持ちかけたことが記載されている。しかし、8日間が経過した後も支払われない場合は、金額を1億ドル（約109億円）に増額すると記載されている^[60][61]。 5000万ドルおよび1億ドルという身代金額は（当時の）過去最高額とされている^[60]。

エイサーはマスコミの取材に対し「異常を検知し、対策を講じた。身代金を支払う予定はなく、捜査機関に状況を報告している」と説明。要求には応じないとしている^[1]。

2021年3月27日、REvilはハリス・フェデレーション（英語版）を攻撃し、同組織の複数の財務書類をブログに公開した。その結果、ITシステムが数週間にわたって停止し、最大で3万7千人の学生が影響を受けた^[62]。

2021年4月、REvilはノートパソコンMacBookを生産するアップル主要サプライヤーの1社である台湾の広達電脳（クアンタ・コンピュータ）から、Appleの次期製品の設計図を盗み出した。この設計図には、発表されたばかりのiMac (24-inch, M1, 2021) やMacBook Air (M1, 2020) の筐体設計図に加え、まだ発表されていない次期MacBook Proの筐体設計図なども含まれている^[5]。他にも、新しいApple Watch、新しいLenovo ThinkPadの設計図が含まれているとされる。REvilは、5,000万ドルを支払わないと、データを公開すると脅迫した^[63][64]。

犯行声明では、「これから始まるAppleの新製品発表会が待ち遠しいか？ 我々、REvilは本日、多くの人々に愛されてきた企業の、将来のリリースにかかわるデータの公開に踏み切っていくつもりだ。ティム・クックは、Quantaに礼を述べるべきだね。これまで多大の時間を費やし、問題解決に努めてやったが、Quantaは、顧客や従業員のデータのことなど、まったく気にしていないという態度を明らかにしてきた。それで、我々が手にしたデータの販売と公開へと進まざるを得ない」と述べた^[65]。

広達電脳は攻撃を受けたことを認めたが、詳しい説明やどの程度のデータが盗まれたかについては言及を避けた。社内の情報セキュリティチームが外部のIT専門家と共に対応しており、「関連する法執行・データ保護当局に報告し、意思疎通を常時行っている」とコメントした^[4]。アップルの広報担当者は情報漏洩に関する質問に対しコメントを避けた^[4]。

セキュリティ企業Emsisoftのギャロウは「往々にして、ハッカーというのは、盗み出した情報の重要性を大げさに伝え、脅し取ろうとするものだ」と語り、流出した情報が大した物ではないと語った。過去の実績を誇示しつつ、それほど重要な情報でなくても、なんとか多額の身代金をせしめようとするハッカーの手口だとした^[65]。

2021年4月20日、ニューヨークの地下鉄やバスを運営するメトロポリタン・トランスポーテーション・オーソリティ(MTA)はサイバー攻撃を受けていたことを6月に入ってから公表した。同社の技術部門は、運行システムに支障が出たり、利用者・従業員の情報にアクセスされたりした形跡は見つからず、影響は軽微で利用者に危険は及ばなかったと説明している^[66]。 この事件は中国政府の支援を受けているハッカー集団によるものとする報道もあるが、中国外務省は「根拠なく推測すべきでない」と関与を否定している^[67]。

2021年4月28日、REvilは日本の大手ゼネコン鹿島建設から盗んだ機密情報の一部を公開した。内容は契約書などで「5月1日までにデータを買い戻すことを勧める」と脅迫した。鹿島は取材に「3月に海外のグループ会社が不正アクセスを受けたことは事実。捜査機関に相談している」と被害を認めた^[68][69]。

2021年5月6日、センサー機器大手のキーエンスがサイバー攻撃を受け、パスポート情報などの個人情報が流出した可能性があると報じられた。キーエンスは取材に対し、「5月に入り、欧州支店がもつ個人情報の流出を確認した。現地の捜査当局に被害の相談をしている」と話している。情報セキュリティ会社S＆Jによると、REvilのサイトでキーエンスの海外支店の関係者のものとみられるパスポート画像などが公開され、情報を買い取るよう要求しているという^[68]。

2021年5月30日、ブラジルの食肉加工大手JBSの自社ネットワークがランサムウェアの攻撃を受け、オーストラリア、カナダ、アメリカの工場が停止した。米国内のすべての牛肉工場の操業停止を余儀なくされ、鶏肉および豚肉工場の操業を中断させられた。 6月2日、連邦捜査局(FBI)は「JBSへの攻撃はREvil別名ソディノキビによるものと判断し、脅威を与える当事者を裁くため懸命に取り組んでいる」との声明を発表した^[3][70]。

6月9日、ウォールストリート・ジャーナルはJBSが1100万ドル（約12億円）の身代金を支払ったと報じた。JBS米国法人の首脳が同紙に、暗号資産（仮想通貨）のビットコインで送金したと話した。理由については「攻撃にともなう混乱が長引けば飲食店や畜産業者ら取引先への影響が広がる恐れがあった」として、「正しいことをした」と述べて同社の判断を擁護した^[8]。攻撃発覚後、FBIに通報する一方、バックアップから情報システムの復元を進めたと説明。大半の工場が再稼働した後に「保険」として身代金を払ったとも明かした^[8]。

2021年6月2日、マサチューセッツ州沿岸部の高級住宅地を結ぶフェリー運航会社スチームシップ・オーソリティ（英語版）が攻撃を受け運航に支障が出ていると公表した。レーダーやGPSの機能に影響はなく、フェリー運航の安全に問題はないが、システム障害によりクレジットカードでの支払いが出来なくなっていると説明した^[66]。

2021年6月3日、東京に本社を置く日本の富士フイルムはランサムウェアとみられる攻撃を受け、グローバルネットワークの一部停止を余儀なくされたことを発表した。東京本社が6月1日夜に侵入を確認したという^[21]。

今回の攻撃の原因となったランサムウェアの種類は確認されていないが、アドバンスト・インテル社のCEOクレメスは、同社が先月、Qbotウイルスの被害に遭っていたことを明らかにした。Qbotトロイの木馬の作成者は、ランサムウェアと協力して、被害を受けたネットワークへのリモートアクセスを提供してきた長い歴史を持っている。かつてはランサムウェアギャングのProLockとEgregorらと連携していたが、彼らが消滅した後は、REvilがこのボットネットを利用していたという^[71]。

プライバシー専門家でもあるProPrivacyのウォルシュによると、初期のフォレンジック分析では、富士フイルムへのサイバー攻撃は、先月Qbotのトロイの木馬に感染し、それを足掛かりに別のハッカーたちによりランサムウェアペイロードを仕かけられた可能性があるという^[21]。現在QbotはREvilが活発に悪用しているため「ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」と分析しREvilの関与をほのめかしている^[21]。

6月14日、富士フイルムはシステムがすべて復旧したと発表した。また調査の結果、外部への情報流出の痕跡は確認されなかった^[72]。

2021年7月2日、フロリダ州に拠点を置くIT企業でクライアント管理サービスを手掛けるKaseya（英語版）は、IT環境管理サービス「VSA」のオンプレミス版が高度なサイバー攻撃を受けたと発表した。影響を受ける顧客は最大で約3万6000社にのぼるが、Kaseyaは直接影響を受けたのが確認されたのは約40社にとどまると説明した^[73]。しかし、今回標的とされた同社のソフトは企業のバックオフィスのシステム運用保守を代行するマネージドサービスプロバイダーに利用されており^[7]、そこから連鎖的にランサムウェアが拡散していった^[74][75]。

Kaseyaは多くのMSPの間で利用されており、使用しているある日本の企業のサイトには「Kaseyaは、全世界のMSP事業者の過半数で利用されている」とシェア率の高さが謳われている^[76]。現在判明しているだけで8つのMSPが侵入されていたが^[77]、ハッカー集団がどこから侵入したのかはまだ判明していない。未知の脆弱性を利用したゼロデイ攻撃だったとされる^[74][78]。

これまでのところVSAを自社の設備で運用するオンプレミス版を利用している企業だけに影響が出ており、クラウドでSaaSとして使用していた企業は影響を受けていないとされている^[77]。だが同社は念のためSaaSサーバもオフラインにしており、顧客へは保護のためすべてのVSAを停止するよう呼び掛けている。攻撃を受けるとVSAに管理者権限でアクセス不能になるためだという^[79]。

技術情報サイトのBleeping Computerによると、この攻撃で200社もの企業のデータが暗号化されたという^[80]。スウェーデンで800店余りを展開する最大級の食料品チェーン「コープ」では、レジが操作できなくなり店舗が休業に追い込まれている^[73]。

この件でKaseyaに協力しているセキュリティ企業Huntress Labsは、既に1000社余りが影響を受けているとしており^[81]、アンチウイルスソフトウェア企業Emsisoftも「ひとつのMSPが侵害されただけで、数百のエンドユーザーに影響が及ぶことがあります。今回のケースでは複数のMSPが侵害されたようですから…」と、被害数は世界中でさらに増えると予想している^[77]。

BleepingComputerは、被害を受けたMSPに500万ドル（約5億5000万円）^[82]、そのMSPの個別の顧客に4万4999ドル（約550万円）を要求していると報じている^[74]。 英セキュリティ企業Sophosによると、仮想通貨のMoneroで支払うように指示されていたという^[83][80]。Kaseyaは外部セキュリティ企業からの勧告で、脅迫文に書かれているリンクは武器化されている可能性があり、どのリンクもクリックするべきではないと被害企業に警告している^[82]。

7月3日、Kaseyaは事件後、このインシデントに関する最新情報を継続的に発信し続けており、3日には侵害検出ツールを提供すると発表し、要望のあった900社の顧客にロールアウトした^[82]。

Huntress Labsとウォールストリート・ジャーナルは、この攻撃にはREvilが関わっている可能性が高いと報じているが^[80]、バイデン大統領は「まだ分からない」と述べるにとどめた。今後、情報機関に調査を指示した上で、もしロシアが関与したと判定されれば、米国は対応することになるとした^[73]。

FBIは声明を発表し、国土安全保障省のサイバーセキュリティー・インフラストラクチャセキュリティー庁(CISA)と協力して調査を開始したとした上で、Kaseyaを利用していた企業に対応策を実施するよう呼び掛けた^[73]。

7月4日、Kaseyaはコロニアル・パイプラインの件でも対応したセキュリティ企業ファイア・アイと契約したと明らかにした^[7]。SaaSについては危険はないと判断し、地域単位で段階的に復旧する計画を実行し始めているとした^[82]。

ホワイトハウスのサイバー問題担当アン・ニューバーガー（英語版）は、被害に遭った企業に対し「国全体のリスク評価に基づき支援の手を差し伸べる」と表明したが^[7]、捜査を担当しているFBIは、今回の攻撃は大規模で「個別の被害者に対応することが不可能」かもしれないとの見解を示した^[84]。

セキュリティ企業ソフォスによると、ドイツやスウェーデンなどアメリカ以外でも被害が報告されており、影響を受けた団体・個人には学校や小規模な公共団体、旅行・娯楽組織、信用組合、会計士などが含まれる^[7]。ITmediaは「Kaseya VSA」のアップデートが悪用され、ランサムウェアに感染させるコードが仕込まれたと報じた^[79]。また7月4日はアメリカの独立記念日で祝日に当たるため、今回の事件はこの週末を控えて企業で対応に当たる人員が手薄になるタイミングを意図的に狙って仕掛けられたともみられている^[79]。

サイバー安全保障を専門とするオックスフォード大学のマーティン教授は、多数の中小企業にITサービスを提供する企業を狙ったサプライチェーン攻撃（英語版）だったことから「これはおそらく史上最大のランサムウエア攻撃だ」と指摘した^[84]。レコーデッド・フューチャーのアラン・リスカは、REvilはJBS攻撃後「さらに横暴になった」と語った^[85]。国家が関与しないサプライチェーン（供給網）攻撃の中では過去最大規模、ランサムウェア攻撃の中では過去2番目の規模になるかもしれないと推定しているが、どの程度の影響が出ているかは、連休明けになるまで分からないとしている^[85]。

同日夜、関与が疑われていたREvilがダークウェブ上のHappy Blogで、身代金として7000万ドル（約78億円）支払えばすべての暗号化を解除するツールを提供するとの犯行声明を出した^[86][87]。 「我々は金曜日（7月2日）にMSPへの攻撃を開始し、100万台以上のシステムを感染させた。もし誰かがユニバーサルデクリプターについて交渉したいのであれば、我々の提示する金額はBTCで7000万ドルだ。支払えばすべての被害者の暗号化されたファイルを復号するデクリプターを公開する。これで誰もが1時間以内に攻撃から回復することができるだろう。この取引に興味のある者は、感染したPCに残された「readme」ファイルの指示に従って我々にコンタクトせよ」と脅迫した^[88]。その後、ロイターの取材に対し「われわれは常に交渉の用意がある」とし、交渉次第では減額の可能性も示している^[13]。

レコーデッド・フューチャーは、この投稿がREvilの中心的人物によるものであることが「ほぼ確実」だと分析した^[89]。 セキュリティ研究者のマーカス・ハッチンズは、REvilが個々の被害者へのMonero請求と並行してビットコインでも身代金を要求していることについて、「私は100万のシステムが感染したという主張には非常に懐疑的だ。私が見たところでは、彼らは個々の組織を恐喝するための手段を持っていないことを示しており、それでKaseyaあるいはどこかの政府に7000万ドルでマスターキーを買わせようとしているということだ」との見解を示した^[90]。

7月5日、KaseyaはSaaS版の再開を、顧客のリスクを最小限に抑えるためにもっと時間が必要として延期を発表した^[90]。被害者数の報道にはかなりばらつきがあるが、CEOのフレッド・ボッコラは取材に対し、サイバー攻撃の影響は同社の顧客だけではなく、その企業の顧客にまで広がっているため、数を正確に把握するのが難しいと語った^[91]。ただ当初の40社という被害者数は、800から1500社に訂正した^[91]。また要求されている身代金の支払いについては明言を避けた^[91]。

サイバーセキュリティー企業ESETによると、南アフリカやイギリス、メキシコなど少なくとも17か国での感染を確認し、またニュージーランド教育省は、国内の少なくとも2つの学校が影響を受けたことを公表するなど、世界中に被害が拡大している^[84]。

被害を受けたスウェーデンのスーパーCoopは、POSシステムが使用できないため、店舗は開けていたものの、買い物客の入店は断り、イチゴやスナック、コーヒーなどを無料で配ったという^[74]。現在は複数の店舗で影響を受けたレジシステムの交換に取り組んでいるとした^[78]。

7月9日、バイデン大統領はプーチン大統領と電話会談し、ランサムウエアを用いた攻撃の阻止をロシア政府に求めた^[92]。両首脳は先月ジュネーブで行われたG7で会談し、サイバー攻撃に関する協議を始めることで合意していたが、その後もロシア系集団による米国企業への攻撃は続いている^[93]。アメリカ側はロシアが犯罪集団の行為を黙認しているとして非難しているが、プーチン大統領は「ロシア側はサイバー犯罪を共同で阻止するための準備ができているが、米国の担当省庁から過去1カ月間、この問題で照会がない」と、米側の対応に疑問を投げかけた^[93]。これに対し、米政府高官は「公式ルートで数回にわたって要求している」と述べ、ロシア側の説明と食い違いを見せている^[94]。

ホワイトハウスは「ロシア国内で活動するランサムウエア集団による犯罪の防止で、ロシアは行動を起こさなくてはならないと、バイデン大統領は強調した」^[92]「国民や重要インフラの保護へあらゆる必要な行動を取る」との声明を発表し、対抗措置も辞さない考えを示した^[94]。

7月10日、Kaseyaの元従業員5人がこれまでに、古いコードや弱い暗号化、堅牢なパッチプロセスがないことなど、セキュリティ面に懸念があることを同社の上層部に報告していたとブルームバーグが報じた。だが報告書を提出した1人の従業員は2週間後に解雇されたという。別の従業員によると、パッチを当てず、顧客のパスワードを暗号化せずクリアテキストで保存するなど、同社は安全面をないがしろにし、問題の修正よりも新機能や新製品を優先していたと証言した^[95]。

事実、オランダ脆弱性開示研究所が、Kaseyaのソフトウェアにセキュリティホールがあることを4月の時点で通知しており、同社は脆弱性を修正するためのアップデートをリリースしたが、攻撃を受けた時点ではまだすべてのホールにパッチが適用されていなかった^[95]。スウェーデンのセキュリティ企業が、VSAをレビューしたところ、わずか数時間の調査で「深刻で悪用可能な脆弱性」が見つかるなど、セキュリティには問題があった^[95]。さらにKaseyaが狙われたのは今回が初めてではなく、2018年から2019年にかけて、REvilの前身と目されるGandcrabに最低でも2回攻撃を受けていた。だが同社のセキュリティ態勢が改善されなかったため、今回さらなる攻撃を受けた可能性があると元従業員3名は述べている^[95]。

7月12日、サイバーコンサルティング会社や国防総省に勤務する研究者が、身代金のビットコインを追跡して記録するサイトを立ち上げた。ビットコインは透明性があるためアドレスを追跡しやすいという。現時点の被害総額1位は「Netwalker(Mailto)」、2位「REvil/Sodinokibi」となっている^[96][97]。

Kaseyaが脆弱性を修正したVSAのアップデートをリリースした。REvilは、VSAに潜んでいた脆弱性を悪用し、認証処理をバイパスするとともに悪意あるコードを実行して、顧客のエンドポイントにランサムウェアを送り込もうとしていた。リリースノートによると、共通脆弱性識別子が割り当てられた3つの脆弱性、認証情報の漏えいとビジネスロジックの欠陥（CVE-2021-30116）、クロスサイトスクリプティングの脆弱性（CVE-2021-30119）、二要素認証のバイパスにつながる問題（CVE-2021-30120）などが修正されているという^[98]。

7月13日、REvilを追跡しているセキュリティ専門家によると、同グループのサイトやインフラがダウンしネット上からアクセスできなくなっていると報告した。消滅した理由は現時点で不明で、逃亡するための計画的なシステムダウン説から、グループ内での紛争説、政府機関による一斉攻撃説などが飛び交っているが、FBIやサイバー軍はこの件に関して声明は発表していない^[38][39][99]。

11月8日、アメリカ司法省がウクライナ国籍とロシア国籍の2人を起訴した。ウクライナ国籍の被告は7月にREvilを使用しKaseyaを攻撃、1500人に身代金を要求した疑いが持たれている^[16]。

1. ^ トレンドマイクロは、「Ransom.Win32.SODINOKIBI」と名付けて分類している。