【ウクライナ危機(70)】ロシア政府を全面支持!?危険すぎるランサムウェア犯罪集団グループ『コンティ』

【ウクライナ危機(70)】ロシア政府を全面支持!?危険すぎるランサムウェア犯罪集団グループ『コンティ』

前回の記事を読む▼

【ウクライナ危機(69)】「プーチンとも戦う」ベラルーシ反体制派ハッカー集団がウクライナ側で参戦!「サイバー・パルチザン」
“https://diggity.info/society/ukraine-69/”

Conti

人の命も容赦なし……。邪悪なランサムウェア『コンティ』

ManageEngine ADSolutions/YouTube

 2022年1〜3月にかけて報告されたランサムウェア攻撃のうち、その半分以上の背後にいるのは、わずか2つのサイバー犯罪グループであることが分かった。

ランサムウェア攻撃、「LockBit」と「Conti」が過半数を占める/ZDNet Japan.2022

「LockBit 2.0」と「Conti」

 Digital Shadowsのサイバーセキュリティ研究者らが、この期間に記録されたランサムウェア攻撃を分析したところ、「LockBit 2.0」と「Conti」が最も活発で、同期間のインシデント全体の58%占めていた。

ランサムウェア攻撃、「LockBit」と「Conti」が過半数を占める/ZDNet Japan.2022

 とりわけ、LockBitが圧倒的に多く、ランサムウェア攻撃の38%を占めた。それは20%を占めたContiのほぼ2倍に相当する。

ランサムウェア攻撃、「LockBit」と「Conti」が過半数を占める/ZDNet Japan.2022

 どちらのグループも被害者からデータを盗み、身代金を支払わない場合は、リークサイトに公開すると脅す手口だ。Digital Shadowsによると、LockBitは第1四半期に200人を超える被害者の情報を流出させており、最も多くの情報を漏えいしている。

ランサムウェア攻撃、「LockBit」と「Conti」が過半数を占める/ZDNet Japan.2022

身代金を要求するマルウェア「ランサムウェア」

近年、感染すると恐ろしい被害をもたらすマルウェアの1つが「ランサムウェア」です。

マルウェア/ランサムウェアとは? | 特徴や感染の確認・対応方法について/ウイルスバスター ビジネスセキュリティサービス

「ランサム(Ransom=身代金)」と「ウェア(Software)」を繋げた造語であるランサムウェアは、文字通りソフトウェアを悪用し、データの身代金を要求するマルウェアです。

ランサムウェアとは?事例と対策を分かりやすく解説/wiz LANSCOPE.2022

感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。

ランサムウェア対策特設ページ/IPA 独立行政法人 情報処理推進機構.2022

2015年から2017年にかけてランサムウェアの新種や亜種が増加の一途をたどっておりましたが、2018年に入って新種の出現傾向は減少しているものの、深刻な感染被害は後を絶ちません。

マルウェア/ランサムウェアとは? | 特徴や感染の確認・対応方法について/ウイルスバスター ビジネスセキュリティサービス

教育機関や病院は狙わない?実際は…。『Lokbit2.0』

LockBit 2.0とは、ロシアを拠点に活動する世界最大規模のサイバー犯罪集団です。

LockBit 2.0 ランサムウェアとは?感染経路や感染時の対応・調査方法を解説|デジタルデータフォレンジック/logitec.co.jp.2022

また、首謀者は香港在住ともいわれています。

Conti vs. LockBit:ランサムウェア攻撃グループの比較分析/トレンドマイクロ.2022

LockBitを使った攻撃が初めて行われたのは2019年9月で、その当時は「.abcdウイルス」と呼ばれていました。被害者のファイルを暗号化するときに使われるファイル拡張子を取ってこの名前が付けられています。過去の主な標的には米国、中国、インド、インドネシア、ウクライナの組織が含まれます。また、ヨーロッパの各国(フランス、イギリス、ドイツ)も攻撃を受けています。

LockBitランサムウェアとは/カスペルスキー

このランサムウェアは、LockBitと名付けられました。

【脅威分析レポート】LockBit 2.0 – すべての道は身代金に通じる/Cybereason.2022

―――「Lock」は鍵のことで、「Bit」はコンピューターシステムにおける情報量の単位のことだ。

ランサムウェアグループLockBitメンバーへのインタビュー/テリロジーワークス.2022

それ後LockBitの新しい亜種が発見され、LockBit 2.0と名付けられました。

【脅威分析レポート】LockBit 2.0 – すべての道は身代金に通じる/Cybereason.2022

LockBit 2.0は、法人をターゲットに身代金を要求するランサムウェアであり、2022年現在、最も活動の盛んなランサムウェアとして知られています。

LockBit 2.0 ランサムウェアとは?感染経路や感染時の対応・調査方法を解説|デジタルデータフォレンジック/logitec.co.jp.2022
「人類の存続に貢献する」組織は対象にしない?実際は攻撃事例が多数報告

一方、LockBitの検出台数は、ヘルスケア業界で最も多く、次いで教育分野で多く見られました。しかしながら、LockBitの攻撃者は、医療機関、教育機関、慈善団体を攻撃しないなどとも主張しています。こういった「言行不一致」については、米国保健サービス省(HHS)も指摘しており、相手を油断させるような声明を安易に信じないようにと注意喚起しています。

ランサムウェアスポットライト:LockBit/トレンドマイクロ セキュリティブログ.2022
日本の病院も被害に…。

 徳島県の鳴門山上病院(鳴門市)は6月20日、ランサムウェア「Lockbit 2.0」を使った攻撃を受けたと発表した。この影響で、電子カルテや院内LANが使用不能になり、業務に支障が出たため、同日は初診の受け付けを停止している。

徳島県の病院がランサムウェア「Lockbit」被害 電子カルテと院内LANが使用不能に/ITmedia NEWS.2022

同じ徳島県のつるぎ町立半田病院も、2021年10月にLockbit 2.0に感染し、暗号化により電子カルテなどが使えない状態になるなど被害を受けていた。

徳島県の病院がランサムウェア「Lockbit」被害 電子カルテと院内LANが使用不能に/ITmedia NEWS.2022

異常事態に驚いた当直の看護師がシステム管理者に連絡、午前3時頃から回線を遮断するなど対応を始めましたが、 被害は大きく電子カルテシステムだけでなく同一ネットワーク内でオンラインで管理していたバックアップデータも感染してしまった後でした。

狙われる医療機関 サイバー攻撃対策「電子カルテの独立保管」最適解とは/RDXショップ.2022

電子カルテが閲覧できず、連動していた会計システムも利用できなくなったため、診療報酬の算定や請求の業務が止まり収入が得られない状態での診療を余儀なくされました。

狙われる医療機関 サイバー攻撃対策「電子カルテの独立保管」最適解とは/RDXショップ.2022

新規患者の受け入れを停止するなど業務の大幅な制限をせざるを得ない状況でした。

狙われる医療機関 サイバー攻撃対策「電子カルテの独立保管」最適解とは/RDXショップ.2022

結局同院は通常診療が再開できるようになるまでに2カ月間を要し、 復旧に費やした費用は2億円にものぼると言われています。

狙われる医療機関 サイバー攻撃対策「電子カルテの独立保管」最適解とは/RDXショップ.2022

ヤバすぎる…。ランサムウェアを提供するサービス『RaaS』

LockBitはサービス化されたランサムウェア(RaaS)として機能します。攻撃したい当事者は、ある特定の標的のために用意された攻撃に対して手付金を払い、アフィリエイトサービスの仕組みで利益を得ます。支払われた身代金はLockBit開発チームと攻撃者の間で分けられます。攻撃者は最大で身代金の3/4を受け取ります。

LockBitランサムウェアとは/カスペルスキー
利用者は簡単に攻撃が可能

RaaS とは Ransomware as a Service の略でありランサムウェアを「サービス」として提供するものである。感染したPCのロックや、ファイルの暗号化により業務にインパクトを与えたのち、ロックや暗号解除と引き換えに身代金を要求するのがランサムウェアであるが、近年のランサムウェア攻撃増加の背景として、一定数身代金を支払う被害者がいることで”ビジネス”として成立してしまうこと、また、RaaSが存在することで、高度な技術を持たない人でも対価を支払うことで簡単に攻撃をおこなえる環境が整ったことも挙げられる。

RaaS (Ransomware as a Service) | セキュリティ用語集/NECソリューションイノベータ

人の命も容赦なし……。邪悪なランサムウェア『Conti』

Contiは2020年5月に初めて確認されたランサムウェアで、ロシアを拠点にするサイバー犯罪グループが開発したとされている。LockBitと同じくRaaSとして大規模に活動を展開し、企業や政府機関だけでなく医療機関もターゲットにする点が特に悪質とされている。

3月に最も活発だったランサムウェアは「LockBit」、3カ月連続で首位/TECH+総合トップ – マイナビニュース.2022

(前略)近年の流行に沿った二重脅迫を行う攻撃グループが用いるランサムウェアです。つまり、暗号化したファイルを復号するための身代金に関わる脅迫と、身代金の支払いに従わなかった場合にデータを流出させると脅し実際に徐々に公開するという二重の脅迫の手口と共に使用されます。

Contiランサムウェアの内部構造を紐解く/Research 調査研究.2021

Contiランサムウェアグループは1年以上に渡ってRaaSを運営し、複数の攻撃に関与しています。たとえば、最近アイルランド国営医療サービスを大混乱に陥れた攻撃なども含まれます。この攻撃ではサービスが停止し、データベースサーバー(SQL)と700GBを超えるPII(個人情報)がダウンロードされ、脅威アクターに盗まれました。その特徴は身代金の要求だけでなく、重要なデータを窃取した証拠を使って恐喝も行われる点にあります。

アフィリエイト向けマニュアル:Contiが直接教えるその攻撃の手法/Fortinet.2021

パロアルトネットワークスのUnit42によると、Contiはランサムウェアの中でも残酷さが際立っており、人命にかかわる病院や救急医療サービスなどのシステムを平然とターゲットとし、身代金の支払いをしても暗号化されたデータは復旧されないケースが多いようです。アイルランドでは昨年、公的な医療システムが攻撃を受け、病院が外来患者の予約をキャンセルせざるを得なくなる事態に至りました。

ランサムウェアContiメンバーの写真が公開される 情報提供に最大1000万ドル―米国務省報酬プログラム/サイバーセキュリティ総研.2022
ロシアには攻撃しない!とされている

 Contiには日本企業も被害に遭ってきた。例えば最近でも、パナソニックの海外子会社や、JVCケンウッドの欧州拠点などが攻撃を受けている。

ロシア系ハッカー集団の手口はどうなっているのか? まるで“会社員”のように動く/ITmedia ビジネスオンライン.2022

また、Contiにはロシア人スタッフが多いため、ロシア国内のターゲットには攻撃をしかけないとされている。

累計27億ドルの身代金を暗号通貨で受領したハッカー集団Conti/Forbes JAPAN.2022

『Lockbit 2.0』の犯罪グループはウクライナ侵攻に関与しない方針

ランサムウェア「Lockbit 2.0」を開発する犯罪グループは2月28日、ロシアによるウクライナ侵攻について、サイバー攻撃や国際紛争に関与しない方針を発表した。

ランサムウェア集団「Lockbit 2.0」、ロシアのウクライナ侵攻に関与しないと声明 「無害な仕事から得る金銭にしか興味がない」/ITmedia NEWS.2022

 同グループは国際情勢について「私たちは非政治的で(ランサムウェアは)単なるビジネス。無害で有益な仕事から生まれる金銭にしか興味がない。自分たちの仕事は、世界中のシステム管理者に、企業ネットワークの適切な設定方法について有償でトレーニングを提供すること」などと書いたテキストデータをダークウェブに公開。

ランサムウェア集団「Lockbit 2.0」、ロシアのウクライナ侵攻に関与しないと声明 「無害な仕事から得る金銭にしか興味がない」/ITmedia NEWS.2022

 「グループはロシア人やウクライナ人が多数を占めるが、米国や中国、カナダ、スイスなどにもメンバーがいる。私たちは皆、単純で平和な地球人」などとして、どんな状況においても国際紛争には加担しない方針を示した。

ランサムウェア集団「Lockbit 2.0」、ロシアのウクライナ侵攻に関与しないと声明 「無害な仕事から得る金銭にしか興味がない」/ITmedia NEWS.2022

『Conti』の犯罪グループはロシア政府を全面支持

 ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表したと、ITセキュリティ系のニュースサイトBleepingComputerが2月25日(米国時間)に報じた。

ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」/ITmedia NEWS.2022

 Contiの犯罪グループは同日「ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する」と声明を出した。

ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」/ITmedia NEWS.2022

 BleepingComputerによれば、同グループはその約1時間後にメッセージを変更。「どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する」としたが「米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する」とした。

ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」/ITmedia NEWS.2022

数時間後にロシア支持の声明が書き換えられる

 しかし、掲載から約3時間後には一転して「我々はいかなる政府とも手を結んでおらず、現在行われている戦争を非難する」などと主張する内容に書き換えられた。ロシアを支持する強気の文言が削除され、トーンを落とした表現に変更された。だが最初の声明のインパクトは大きく、ゴタゴタを引き起こすきっかけとなった。

暴露されたランサム攻撃グループの実態/日経クロステック(xTECH).2022

Twitter上で次々とContiの内部情報が次々リーク

声明の数時間後、「ContiLeaks(コンティのリーク)」というアカウントがツイッターに登場し、コンティ内部のチャット履歴だとするやり取りを掲載した。

アングル:ロシアのハッカー攻撃、情報漏洩と保険金問題で肩すかし/REUTERS.2022

 2月27日に開設された@ContiLeaksは、Contiのメンバー同士の会話のログ記録や、Contiランサムウェア関連のソースコードなどを次々に暴露した。ソースコードはパスワードで保護されたアーカイブファイルに含まれていたが、別の研究者がクラッキングして、誰でもアクセスできる状態になったとBleepingComputerは伝えている。

ウクライナ巡るサイバー空間の攻防、ロシアの「控えめな攻撃」に驚く声も そのワケは?/ITmedia NEWS.2022

数年間にわたる何千のメッセージからなるため、「ランサムウェアのパナマ文書」とも呼ばれています。

「Conti」の内部通信が流出:ランサムウェアの「パナマ文書」を検証/マカフィーブログ – Trellix.2022

ロシアの諜報機関との関係が露呈

世界最大のランサムウエア(身代金要求型ウイルス)犯罪集団「コンティ」から流出した記録は、不明瞭だったロシア政府との関係を示唆する重要な資料だ。

サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆/日本経済新聞.2022

流出したチャットログには、Contiの工作員がロシア連邦保安庁(FSB)を含むロシアの政府機関と接触していたことを示唆する証拠も含まれており、ロシア政府がサイバー犯罪者と共謀しているのではないかという長年の疑惑を支持するものとなっています。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる/Gigazine.2022
ビットコインのウォレットアドレスが公開

さらに、Contiの主要なビットコインのウォレットのアドレスが公開され、そのウォレットに6万5000BTC以上の支払いがあったことが確認された。これは、現在のレートで約27億ドル(約3470億円)以上の金額だ。

累計27億ドルの身代金を暗号通貨で受領したハッカー集団Conti/Forbes JAPAN.2022

リークされたソースをもとに『Conti』の亜種が誕生…。ロシア企業を攻撃

Contiランサムウェアのソースコードのアーカイブを漏洩させた人が漏洩したのはパスワード保護されたアーカイブでした。

さらに漏れでるConti/テリロジーワークス.2022

しかしその後、別の研究者がこのパスワードを解析し公開しました。
これにより誰もがソースコードを閲覧可能な状態となりました。

さらに漏れでるConti/テリロジーワークス.2022

このソースコードは、ハッキンググループ NB65 により直ちに再利用され、ロシアへのランサムウェア攻撃で使用された。

LockBit 3.0 Builder が流出:不満を持つ開発者の裏切りがもたらす大きな影響とは?/IoT OT Security News.2022

Malwarebytes Labsは4月12日、「Conti ransomware offshoot targets Russian organizations」において、「Conti」と呼ばれる悪名高いランサムウェアの亜種が登場して、ロシアの企業を対象としたサイバー攻撃に用いられていると伝えた。Contiはロシア政府と関連するサイバー犯罪グループによって開発されたといわれているランサムウェアで、企業や政府組織、医療機関などに対する大規模なサイバー攻撃に用いられてきた。

Contiランサムウェア亜種、ロシア企業にサイバー攻撃 – ウクライナ侵攻に抗議/TECH+総合トップ – マイナビニュース.2022

これまで、Contiはその活動の規模にかかわらず、ロシアの関連組織に対する攻撃にはほとんど利用された形跡がないという特徴がある。これは、Contiの開発者がロシア政府の支援を受けたグループであるという根拠の一つともされてきた。

Contiランサムウェア亜種、ロシア企業にサイバー攻撃 – ウクライナ侵攻に抗議/TECH+総合トップ – マイナビニュース.2022

別のアカウントからも個人情報がリーク

本暴露に関連する事象として、その後別のアカウント名からも、攻撃グループ「Trickbot/Conti」のメンバーとされる人物らの個人情報を含む情報が多数暴露され始めている。

2022/3/8 Rev2 作成 ※バージョン履歴(p.24)/三井物産セキュアディレクション株式会社.2022

『LockBit2.0』がContiのメンバーの雇用を示唆

また Conti と並び 2 大巨頭ともいえる攻撃グループ「LockBit2.0」が ContiLeaks に反応、今回の件を受けて Emotet や TrickBot のソースコードの購入や Conti メンバーの雇用を示唆するコメントなどをロシアのハッカー フォーラムで残している。

2022/3/8 Rev2 作成 ※バージョン履歴(p.25)/三井物産セキュアディレクション株式会社.2022

リークにより活動が一時的に減少

この流出により、Contiのランサムウェアは一時的に減少しました。

アバスト、2022年第1四半期脅威レポートを発表:ウクライナとロシアにおけるサイバー戦争が脅威の大半を占める/Avast Press.2022
何故か日本は攻撃が増加

しかし、日本はこの傾向の例外で、2022年第1四半期にユーザーがランサムウェアに遭遇するリスクは、2021年第4四半期に比べて37%増加しました。この増加傾向は、メキシコ(120%)とインド(34%)でも見られました。日本では特に、2月と3月にアドウェアの割合が大幅に増加したほか、日本企業を標的としたEmotetマルウェアも大幅に増加しました。

アバスト、2022年第1四半期脅威レポートを発表:ウクライナとロシアにおけるサイバー戦争が脅威の大半を占める/Avast Press.2022
早くなんとかしないと…。標的対象が約2万2千台

世界最大のランサムウエア(身代金要求型ウイルス)犯罪集団「コンティ」の標的になりかねないコンピューターが少なくとも日本に約2万2千台あることが日本経済新聞の調査で判明した。4月下旬時点で台湾に次ぐ多さで、3位の米国の1.5倍以上だ。

サイバーカオス 解明コンティ(中) 攻撃の標的、日本に2万台/日本経済新聞.2022

「背景として最も深刻なのが危機感がほぼないケース。『1年に1回、脆弱性診断をしているから大丈夫』などと考えている。世界で年間約2万件の脆弱性が見つかっているのに年1回の点検で十分なわけがない」

(サイバーカオス 解明コンティ・識者に聞く㊦)脆弱性対策、100社に1社/日本経済新聞.2022

リークしたのはウクライナ人!?

米フロリダ州のサイバーセキュリティー会社、アドビンテルのビタリ・クレメズ最高経営責任者(CEO)と、米ウィスコンシン州のホールド・セキュリティー社の創業者、アレックス・ホールデン氏によると、内部のチャットをリークしたのはウクライナ人のサイバーセキュリティー研究者だ。ロイターはチャット履歴の真偽を独自に確認することができなかった。

アングル:ロシアのハッカー攻撃、情報漏洩と保険金問題で肩すかし/REUTERS.2022

両氏はこの研究者と連絡を取っているが、研究者はまだウクライナにいるためメディアに話をすることを望んでいないという。

アングル:ロシアのハッカー攻撃、情報漏洩と保険金問題で肩すかし/REUTERS.2022

クレメズ氏によると、研究者は以前からコンティのログにアクセスしていたが、ロシアのウクライナ侵攻に際してコンティがロシア政府への忠誠を誓ったことが、チャット公開の引き金となった。「彼らの発言に気分を害したのだ」という。

アングル:ロシアのハッカー攻撃、情報漏洩と保険金問題で肩すかし/REUTERS.2022

CNNはこのチャットログ流出を実行したウクライナのコンピューター専門家に接触し、インタビューに成功しています。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる/Gigazine.2022

「Danylo」という偽名を名乗ったこの人物は、サイバーセキュリティ研究者として長年働いており、ヨーロッパの地下サイバー犯罪経済を研究してきたとのこと。Danylo氏は、後にContiとなるグループによって使用されるコンピューターシステムには2016年に初めてアクセスしたそうで、具体的な手法は明らかにしなかったものの、「時々彼らはミスを犯します」「彼らがミスを犯した時にキャッチしなくてはなりません。私は彼らを監視していたので、ちょうど適切なタイミングで適切な場所にいました」と述べています。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる/Gigazine.2022

それから数年にわたりDanylo氏はハッカーたちのコンピューターサーバーに潜んでおり、グループの運営に関する情報をヨーロッパの法執行機関に伝えていたそうです。しかし、2月25日にContiがロシア政府に対する支持を表明したことでDanylo氏は方針を変え、Contiのデータを広く流出することに決めたとのこと。CNNのインタビューに対し、Danylo氏は方針転換の動機を「やつらがクソであることを証明するため」と笑いながら話し、当時は軍の検問所をナビゲートし、タバコを探し、次の空襲に備えて空を見上げる長い1日に疲れ果てていたと答えました。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる/Gigazine.2022

Danylo氏によると、Contiのデータを流出させ始めてから、アメリカ連邦捜査局(FBI)から連絡があり、流出をやめるように頼んできたとのこと。これは、データ流出に対応してContiがコンピューターシステムを変更し、FBIが追跡しにくくなる可能性があるという理由でした。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる/Gigazine.2022

ついにアメリカから賞金をかけられる

 米国務省が最大1000万ドル(約13億円)の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。うち一人については初めて写真を公開。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。

ランサムウェア集団「Conti」幹部はこの男――米政府が13億円の賞金、闇サイトで情報募る/ITmedia.2022

 米政府が求めているのは、「米国の重要インフラを標的として、外国政府が関与する悪質サイバー活動」に関わったとされるContiのメンバー5人の情報。それぞれ「Tramp」「Dandis」「Professor」「Reshaev」「Target」というハンドルネームが付いている。中でもTargetと呼ばれる男については初めて顔写真を公開し、「あなたはこのハッカーたちを知っていますか? ダークWebでぜひ情報提供を」と呼び掛けた。

ランサムウェア集団「Conti」幹部はこの男――米政府が13億円の賞金、闇サイトで情報募る/ITmedia.2022

三井物産セキュアディレクション株式会社の調査資料

MBSD/YouTube

 三井物産セキュアディレクション株式会社(MBSD)は3月8日、2月末からConti の内部情報とされるデータを流出している「ContiLeaks」についての調査資料をPDFで公開した。

MBSDが「ContiLeaks」の調査資料を公開、被害組織側のランサムウェアの交渉人からの交渉コメント共有など チャットログ掲載/ScanNetSecurity.2022

 流出したデータは、Conti攻撃グループのメンバー間の内部チャットログ約2年分(2020/6/21~2022/03/2)で、チャットログの形式はjson形式、ファイル数は546 ファイル、メッセージ数の合計は約17万弱(168,777)、メッセージ内のユーザー数は465ユーザーとなっている。

MBSDが「ContiLeaks」の調査資料を公開、被害組織側のランサムウェアの交渉人からの交渉コメント共有など チャットログ掲載/ScanNetSecurity.2022

 同資料でピックアップしているチャットログは、「ランサムウェアの開発を示唆するコメント」「支払い期限を過ぎても支払わない被害会社に対してどう対応するかを会話しているやりとり」「交渉時の金額について最初はふっかけるものだという助言」「メディアの記事になっていることを嘆いている様子」「結果が出ない時に感じる苦労を話す様子」「Conti のあるメンバーが Ryuk に自身が作ったコードが再利用されていることを知って驚く様子」「ランサムウェアを改良しテストで問題なければ実戦に進めるという趣旨のコメント」「被害組織側のランサムウェアの交渉人からの交渉コメントを共有する書き込み」「攻撃グループの給料がフォーラムで安すぎと言われているということに関する会話」「ゼロディエクスプロイトの売買の可能性や提案に関するやりとり」「マルウェアの検知について技術的な会話をする様子」「ウイルス対策製品に検出されないようにする業務を行う先輩が新入に作業を教える様子」などがある。

MBSDが「ContiLeaks」の調査資料を公開、被害組織側のランサムウェアの交渉人からの交渉コメント共有など チャットログ掲載/ScanNetSecurity.2022

Contiを開発した?と言われているサイバー犯罪グループ「Wizard Spider」

 ContiはWizard Spiderと呼ばれる犯罪グループによって運営されてきたとみられており、クラウドストライクによると、Wizard Spiderはロシアを拠点とするサイバー犯罪グループで、TrickBotの作成、運用でその存在が知られるようになったということです。2016年に金融詐欺を目的にTrickBotを導入し、その後、Ryuk、Conti、BazarLoaderなどを開発して運用しているということです。

ランサムウェアContiメンバーの写真が公開される 情報提供に最大1000万ドル―米国務省報酬プログラム/サイバーセキュリティ総研.2022

もはや普通の会社!?Contiの組織形態

世界最大級のサイバー犯罪組織「コンティ」から漏洩したチャット履歴の分析からは、「ランサムウエア」(身代金要求型ウイルス)を仕掛ける組織の構造が浮き彫りになった。

〈解明コンティ〉身代金ビジネス、まるで会社/日本経済新聞.2022

「ランサムウエア」と呼ぶウイルスで企業などのシステムを攻撃し回復させることと引き換えに1年半で100億円相当の暗号資産(仮想通貨)を奪取。645の仮想通貨口座で複雑に資金を移動させて追跡を逃れていた。

連載企画「サイバーカオス 解明コンティ」 まとめ読み/日本経済新聞.2022

最も入金が多かった口座では、一度に10億円弱の入金が約2カ月間で複数回ありました。

サイバー攻撃集団、「身代金」奪う手口は?/日本経済新聞.2022
組織運営に欠かせない様々な部署

Contiは、オフィスビル、人事部やその他の部署(テスター、リバーサー、OSINT、コーダー、トレーニングチームなど)を抱え、毎月給与を支払う普通の会社に驚くほど似通っています。

「Conti」の内部通信が流出:ランサムウェアの「パナマ文書」を検証/マカフィーブログ – Trellix.2022
「月給2千ドル」「週休2日」働きやすさを強調

コンティは組織の維持・拡大のため、攻撃を担う人材の採用に力を注いでいる。人事担当者が「月給2千ドル」「週休2日」など働きやすさを強調して勧誘する。部下へのハラスメントを戒め、働く目的や生産性の高め方を示す「マニュアル」まである。顔も本名も知らずに、専門スキルを持つ人材を数百人規模で「ギグワーク(単発労働)」の要領で犯罪へ引き込み働かせている

連載企画「サイバーカオス 解明コンティ」 まとめ読み/日本経済新聞.2022

 Contiなどランサムウェア集団は、ターゲットを決めるのに企業などのビジネス規模を重視する。これだけの担当者が絡んだ組織が動く以上、それなりの金額を身代金として支払う能力がある企業を狙う。そのために、企業のWebサイトやその他のオープンな情報(OSINT)を調べ、ビジネス規模を確かめてから、標的にするかどうかを決めている。その役割を、組織内の「OSINTスペシャリスト」が担っている。

ロシア系ハッカー集団の手口はどうなっているのか? まるで“会社員”のように動く/ITmedia ビジネスオンライン.2022

 そして被害組織と身代金の交渉をする「ニゴシエーター」もいる。電子メールなどのやりとりのみならず、場合によっては電話で企業などとも直接、身代金などについて脅迫を行うという。実は身代金の額は交渉次第の場合もあり、要求額が下がるケースもあると報告されている。「応相談」ということらしい。

ロシア系ハッカー集団の手口はどうなっているのか? まるで“会社員”のように動く/ITmedia ビジネスオンライン.2022

 そしてContiにはファイナンス部門もあり、入手した身代金のマネーロンダリングなどを行っている。

ロシア系ハッカー集団の手口はどうなっているのか? まるで“会社員”のように動く/ITmedia ビジネスオンライン.2022

現在、100~350人ほどが関与していて、ここ2年だけで不正に稼いだ身代金は27億ドルにも上るとの報告もある。

ロシア系ハッカー集団の手口はどうなっているのか? まるで“会社員”のように動く/ITmedia ビジネスオンライン.2022
完璧な組織の中で実行部隊が入れ替わりで攻撃……おまけに外注まで

そのうえで、プログラミングなどのスキルを持つ数百人の実行メンバーが入れ替わり攻撃に参加します。報酬と引き換えにスキルを持つ外部の人材を犯罪に活用する闇ビジネスが確立されています。

サイバー攻撃集団、「身代金」奪う手口は?/日本経済新聞.2022
created by Rinker
危険で不穏。けれど、あなたが考えるよりも、はるかに身近な世界。だが、匿名の状況にある人間が、どんな行動を取るかは、変わっていないはずである。(「BOOK」データベースより)

この記事の続きを読む▼

【ウクライナ危機(71)】アノニマスに対抗せよ!!親ロシア派ハッカーグループ『キルネット』
“https://diggity.info/society/ukraine-71/”
Previous post 【ウクライナ危機(69)】「プーチンとも戦う」ベラルーシ反体制派ハッカー集団がウクライナ側で参戦!「サイバー・パルチザン」
Next post 【ウクライナ危機(71)】アノニマスに対抗せよ!!親ロシア派ハッカーグループ『キルネット』

当サイトでは、利用状況の把握や広告配信などのために、GoogleやASP等のCookieが使用されています。これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについてはプライバシーポリシーをご覧ください

X