Conti の活動がピーク値に戻る:逆リークを跳ね除けて被害者を増やしている?

Conti ransomware operations surge despite the recent leak

2022/04/27 SecurityAffairs — Secureworks の研究者たちは、ロシアを拠点とする脅威アクター Gold Ulrick として追跡されている Conti ランサムウェアについて、内部活動に関するデータリークにもかかわらず、活発に活動し続けていると述べている。このグループの、通信内容/ソースコード/運用情報などが公開されたが、その活動は 2021年に記録したピーク・レベルへと戻っている。

Secureworks の Conter Threat Unit (CTU) の投稿によると、「Conti のリークサイトに追加された被害者の数は、2022年2月に増加している。2月27日に、Twitter のペルソナ @ContiLeaks が、Gold Ulrick のデータと通信内容をリークし始めたが、3月に投稿された Conti 被害者の数は、2021年1月以降において、2番目に多いレベルへと急増した」という状況のようだ。

conti ransomware gold ulrick

Jordan Conti の名でオンラインを行き来する、Gold Ulrick ギャングのメンバーの1人は、今回の情報流出は、Conti の運営に対して最小限の影響しか及ぼさなかったと述べている。

RAMP (Russian Anonymous Marketplace) という、アンダーグラウンド・フォーラムでの Jordan Conti の投稿によると、Conti ダークウェブ流出サイトには、身代金の支払いを拒否した被害者のみが掲載されており、現実には2倍の被害者がいるとのことだ。つまり、Conti ギャングの身代金支払い成功率は 50% であり、平均の支払い額は 700k だと推測できる。

Conti ランサムウェアの運営者は、4月の最初の4日間に、11件の新たな犠牲者をリークサイトのリストに加えているが、その成功は TTP (tactics, techniques and procedures) の進化によるものだろう。このペースで Gold Ulrick の活動が続けば、世界の組織にとって、同グループは最も厄介なサイバー犯罪の脅威であり続けるだろう。

文中にもあるように、このところ、Cinti に対するプレッシャーが高まっていますが、その活動は衰えないという展開になっているように思えます。3月1日の「ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出」にあるように、Conti 自身がハッキングされるというインシデントがありました。続いて、3月9日の「CISA 対 Conti:マルウェア配信に使用された 100 ほどのドメイン名を公開」のように、公的機関も Conti に圧力をかけ始めています。その一方で、4月19日の「風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている」に記されているように、社会インフラに対する攻撃を、Conti は成功させているように見えます。よろしければ、Conti で検索も、ご利用ください。

%d bloggers like this: