ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出

Conti Ransomware source code leaked by Ukrainian researcher

2022/03/01 BleepingComputer — ウクライナの研究者たちが、ランサムウェア Conti オペレーターの内部の会話や、ランサムウェアのソース、管理パネルなどを流出さ、壊滅的な打撃を与え続けている。Conti がロシアによる侵略を支持し、ウクライナのアフィリエイトを混乱させた後に、ある研究者が動き出したことで、Conti にとって極めて不利な展開の1週間となった。

Conti siding with Russia on the invasion of Ukraine
Conti siding with Russia on the invasion of Ukraine


日曜日に、Twitter のハンドルネーム @ContiLeaks を使用するウクライナの研究者が、Conti および Ryuk のプライベート XMPP チャット・サーバーから抜き出した、6万以上の内部メッセージを含む 393個の JSON ファイルを流出させた。

これらの会話は、2021年1月21日〜2022年2月27日のものであり、Bitcoin のアドレスや、ビジネス上の組織、法執行の回避、攻撃の方法など、このサイバー犯罪組織に関する情報の宝庫となっている。

月曜日に、この研究者は、Conti ランサムウェアの作戦が初めて行われた頃である、2020年6月以降の 107,000 件の内部メッセージを含む 148 の JSON ファイルなど、より詳細な Conti データを追加で流出させ続けた。

Further leaked internal conversations
Further leaked internal conversations


ContiLeaks は、このギャングの管理パネルのソースコード/BazarBackdoor API/ストレージ・サーバーのスクリーンショットなどを、夜通しで公開した。しかし、今回のリークで人々を興奮させたのは、Conti ランサムウェアの暗号化ツール/復号化ツール/ビルダーなどのソースコードを含む、パスワードで保護されたアーカイブだった。

このリークでは、パスワードは公開されなかったが、別の研究者がすぐにパスワードを解読し、誰もが Conti ランサムウェアのソースコードにアクセスできるようになった。

Conti source code for encrypting a file
Conti source code for encrypting a file


リバースエンジニアであれば、ソースコードから追加情報を得ることが可能かもしれない。しかし、C言語でのプログラミングは可能であっても、リバースエンジニアに精通していない人々にとっては、このソースコードがマルウェアの動作に関する膨大な洞察を与えてくれる。

それはセキュリティ研究にとって良いことだが、このコードが公開されたことによるデメリットもある。HiddenTear (教育目的) や Babuk ランサムウェアのソースコードが公開されたときに、脅威アクターたちは直ちに、そのコードを利用して独自の作戦を展開し始めた。

Conti ランサムウェアのように、厳格でクリーンなコードが流出すると、他の脅威アクターによる独自の犯罪行為を始まると予想される。さらに、公開された BazarBackdoor API や TrickBot Command and Control サーバーのソースコードは、脅威アクターインフラに関する情報であるため、より有用であると考えられる。

Conti については、今回のデータ流出により、大きな影響が生じるかどうかを見極める必要がある。今回の事件は、同グループにとって大きな風評被害となり、アフィリエイトが別のランサムウェアに移行する可能性もある。

Conti をビジネスとして認めるわけではないが、すべてのビジネスと同様に、データ漏洩は常に起こっているのだ。

ロシアのウクライナ侵攻と並行してエスカレートするサーバー戦争ですが、この研究者による Conti ソース公開は、相手がランサムウェア・ギャングですから、たとえロシア政府支持を表明しているにしても、何の問題もないでしょう。むしろ、このコード流出で心配なのは、Conti 亜種の登場だと思います。なお、最近の Conti に関連する情報としては、2月18日の「Conti が TrickBot を買収:高ステルス性のマルウェア BazarBackdor へと移行か?」や、2月23日の「製造業のインフラを攻撃するランサムウェア:圧倒的に活発な LockBit と Conti」などが興味深いです。→ Ukraine まとめページ

%d bloggers like this: