FBI/CISA/NSA 警告:Conti ランサムウェア攻撃が猛威を奮っている

FBI, CISA, and NSA warn of escalating Conti ransomware attacks

2021/09/22 BleepingComputer — 今日、CISA/FBI/NSA は、米国の組織を標的としたランサムウェア Conti の攻撃が増加しているとの警告を発した。米国の3つの連邦機関は、企業の IT 管理者に対し、組織のネットワーク・セキュリティ体制を見直し、Conti ランサムウェアから守るために、共同勧告に記載されている対策を直ちに実施するよう求めている。

この共同勧告には、OS やソフトウェアを最新の状態に保つこと、多要素認証を義務付けること、ネットワークを分割することなど対策が記されている。これらの3機関によると、Conti ランサムウェアの実行者は、米国内外の企業を狙った 400件以上の攻撃に関与しているとのことだ。

この勧告は、「CISA と FBI は、米国および国際的な組織を狙った 400件以上の攻撃において、Conti ランサムウェアが増加していることを確認した。典型的な Conti ランサムウェアの攻撃では、悪意の脅威アクターによりファイルが盗まれ、サーバーやワークステーションが暗号化され、身代金の支払いが要求される」と述べている。

2021年5月には FBI も、Conti オペレーターが、米国の 10以上の医療機関や救急隊員組織のネットワークに侵入しようとした、と警告している。

Conti とは?

ランサムウェア Conti は、Wizard Spider として追跡されている、ロシアを拠点とするサイバー犯罪グループが管理していると推測される、プライベートなRansomware-as-a-Service (RaaS) のことである。Conti は、コードの一部を Ryuk ランサムウェアと共有しており、Ryuk の活動が 2020年7月に鈍化し始めた後に、TrickBot の配布チャネルを利用し始めている。

最近、このサイバー犯罪集団は、アイルランドの Health Service Executive (HSE) とDepartment of Health (DoH) に侵入し、前者のシステムを暗号化した後に $20 million 身代金を求めた。DoH は Contiによるシステムの暗号化を阻止したが、HSE はランサムウェアがネットワーク全体に広がるのを防ぐために、すべての IT システムを停止せざるを得なかった。アイルランドの公的医療システムが攻撃した後に、Conti グループは HSE 向けに無料の復号化ツールをリリースしたが、その一方で、盗み出したデータをリーク/販売することがあると脅している。

8月には、不満を持った Conti アフィリエイトが、トレーニング・マニュアルを流出させている。この資料には、オペレーターに関する情報や、Cobalt Strike や mimikatz などのツールを展開するためのマニュアル、そして Conti アフェリエイトのための多数のヘルプ・ドキュメントなどが含まれている。

REvilBlackmatter (DarkSide) と並んで、活動量の多いランサムウェアである Conti ですが、FBI / CISA / NSA が警告を出すほど、活発化しているということなのでしょう。「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」に記されているように、Conti は仲間割れを起こしたらしく、内部文章まで流出しましたが、その勢いは衰えていないようです。ご用心ください。

%d bloggers like this: