Conti ランサムウェアが7月以降で稼いだ 30億円:その金の流れを追跡する

Conti ransomware operations made at least $25.5 million since July 2021

2021/11/19 SecurityAffairs — ブロックチェーン分析企業 Elliptic の支援を受けて、スイスのセキュリティ企業 Prodaft が実施した調査により、ランサムウェア Conti の運用者は、2021年7月以降に支払われた身代金のうち、少なくとも $25.5 million の収益を得ていることが明らかになった。

Conti ランサムウェアは、プライベートな Ransomware-as-a-Service (RaaS) を運営者であり、2019年12月末ごろから TrickBot の感染により配布が進み、脅威の対象となってきた。専門家たちは、この運用者がロシアを拠点とするサイバー犯罪グループ Wizard Spider のメンバーであると推測している。同グループは、2020年8月以降にリークサイトを立ち上げ、盗んだデータを公開すると被害者たちを脅してきた。

専門家たちは、500 Bitcoin 以上の取引に関与した、Conti ランサムウェアの操作に結びつく 113件のウォレットを分析した。そして、Conti の利益のうち $6.2 million を切り分け、”統合ウォレット ” に転送したとされる、いくつかの取引を特定した。

彼らは、「今回の調査で特定した、Prodaft のビットコイン・アドレスは 113件である。これらのアドレスのうちの 100件は、1回のランサムウェア攻撃に関連しており、被害者による支払いを税務/監査当局から隠すために、100回に分けて Conti に支払いするよう要求していた。また、今回の調査で特定されたアドレスは、14件の個別のランサムウェア事件に関連していると考えられる。これらの攻撃のうち 50% が、Conti への支払いにつながっている」と述べている。

この統合されたクラスターが、最初に活動したのは 2017年12月であり、1.8 Bitcoin の着信支払いを1回受けたが、その後は 2021年半ばまで休眠状態が続いた。そして 2021年8月に、このクラスターから 0.07 Bitcoin が、ランサムウェア・グループが利用している著名な取引所に送信された。この統合されたウォレット群は、ランサムウェアの運用に不可欠なコンポーネントであり、法執行機関にとって主要なターゲットになっている。

なお、この統合されたクラスターが受け取った Bitcoin を、Conti ギャングが現金化/交換したことはない。ブロックチェーンを分析した結果として、残りの 123.06 Bitcoin (約 $6.2 million) は、ホストされていないウォレットに保管されていることが判明した。

Elliptic の専門家たちは、Conti のアフィリエイトに関連する取引も分析した。彼らが特定した1つのクラスターは、Conti と DarkSide の双方から支払いを受けており、脅威アクターが双方のグループに所属していたことを示唆する状況となっている。この調査では、Conti アフィリエイトが、高度なマネーロンダリングを行っていることも明らかになった。また、取引所やコインスワップだけではなく、プライバシー保護のためのウォレット Wasabi や、ロシア語のダークネット・マーケット・プレイであるス Hydra などの、複数のサービスを利用しているケースも見つかっている。

Prodaft のレポートは、「特定したアドレスと、統合クラスターへの入金を調査すると、Conti に支払われた身代金は、2021年7月以降で 500 Bitcoin 以上 ($25.5 million) であり、そのうちの $6.2 million が Conti の統合クラスターに送金されていることが分かった」と述べている。

いずれにせよ、上記の数字は氷山の一角に過ぎない。専門家たちは、Conti ランサムウェア運用は、この期間において、さらに多くの利益を得ていると考えている。このレポートは「今回の調査で資金の流れを追うことにより、Conti に関連する個人を特定することは、高度なマネーロンダリング技術や Wasabi ウォレットなどのサービスの利用を考慮すると、困難だと考えられる。さらに、取引所などのサービスでは、KYC (Know Your Customer) ポリシーが導入されているが、Conti のようなグループは、KYC 要件に該当しない少額の入出金を行っている可能性がある」と結論づけている。

ランサムウェアに関する調査というと、その攻撃ベクターや TTP (Tactic/Techniques/Procedures) を追跡するものが一般ですが、この Prodaft のレポート Conti Ransomware Group In-Depth Analysis は、彼らが得た身代金の行方を追うという意味で、とても興味深いものとなっています。Conti で検索してみると、彼らが膨大な身代金を得ている様子が見えてきます。

%d bloggers like this: