Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した

Angry Conti ransomware affiliate leaks gang’s attack playbook

2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20%~30% を受け取り、残りをアフィリエイトが受け取ることになる。

本日、怒りの Conti アフィリエイトが作成したフォーラム投稿が、あるセキュリティ研究者と共有されたことで、ランサムウェアの運用に関する情報を公になった。この情報には、Cobalt Strike C2 サーバーの IP アドレスや、ランサムウェア攻撃を行うためのツール群とトレーニング資料を取り込んだ、113MB のアーカイブが含まれている。このアフィリエイターは、他のチームが数百万ドルを稼いでいるのに対して、自分には $1,500 のみしか支払われなかったため、一連の資料を投稿したと述べている。

このアフィリエイトは、「彼らの Cobalt Strike の IP アドレスとトレーニング資料を共有する。私が得たのは、たったの $1500 だ。いつも、彼らはカモを募集し、自分たちの間で金を分けている。そして、被害者が身代金を支払うとき、少額の分前のみをアフィリエイトに支払う」と、ロシア語のハッキング・フォーラムに投稿した。この投稿には、ランサムウェア・ギャングが使用する C2 サーバーの IP アドレスを含む、Cobalt Strike のビーコン構成の画像が添付されている。セキュリティ研究者の Pancak3 のツイートでは、これらの IP アドレスをブロックし、同グループからの攻撃を防ぐことが推奨されている。その後の投稿で、このアフィリエイトは、Conti ランサムウェアが提供されるとされる、ハッキング・ツールおよび、ロシア語で書かれたマニュアル、トレーニング資料、ヘルプ・ドキュメントなど、111MB のファイルを含むアーカイブを共有した。

セキュリティ研究者は、これらのファイル構成を示すフォルダのスクリーンショットを、BleepingComputer と共有した。そこには、Cobalt Strike を展開するためのマニュアルや、NTLM ハッシュをダンプするための mimikatz、その他のコマンドが詰まった膨大なテキスト・ファイルが含まれるとされる。このアーカイブを分析した Advanced Intel の Vitali Kremez は、一連のトレーニング教材の内容は、現在進行している Conti による攻撃と一致すると、BleepingCompter に対して述べている。Vitali Kremez は、「大体において、Conti ランサムウェアのペンテスター・チームを構成する、一連の操作のコア情報であり、A-Z でもある。その意味合いは大きく、新たに参加したランサムウェア・アフィリエイトが、段階的にスキルをレベルアップするためのものだ。

今回の流出事件は、世界中の企業を標的にするランサムウェア組織の、成熟度と先進性を示すものだ。彼らが、細心の注意を払い、経験を積んできたことが分かる。このグループは、AnyDesk (Remote Desktop) と Atera (Remote Monitoring Management) が検出を逃れつつ、機能し続けることにフォーカスしている。その一方で、この件は RaaS (Ransomware-as-a-Service) の脆弱性を示すものであり、たった一人の不満を持った関係者により、攻撃に使われる大切な情報やリソースが流出する可能性を示している。最近、米国政府は、「司法のための報奨プログラム」において、米国の重要インフラに対する、国外からの悪意のサイバー活動に関する情報提供を受け付けており、有益な情報には $10 million の報奨金を支払い準備があると発表した。さらに、このプログラムによる報奨金は、暗号通貨を介して匿名で支払われるため、低賃金のランサムウェア・アフィリエイターたちを味方につけ、サイバー犯罪者たちを突き止める可能性もある。

この Conti ですが、アイルランドの医療機関米国の医療機関などに攻撃を仕掛けているランサムウェア・グループのようです。また、先日に「RaaS (Ransomware-as-a-Service) のエコシステムを解析する」をポストしましたが、そこには Conti と BazarLoader のコードに類似点があると指摘されていました。今回の記事は、グループのコア・メンバーとアフィリエイトのイザコザのようですが、グループ間での争いもあるようです。米政府の仕掛けが成功して、仲間割れを誘発できれば、さらに詳細な情報が提供されると思います。展開に期待しましょう。

%d bloggers like this: