Conti 解体新書:研究開発部/人事部を有するグローバル RaaS 産業に成長

Conti effectively created an extortion-oriented IT company, says Group-IB

2022/06/23 HelpNetSecurity — Group-IB の最新レポートによると、ランサムウェア・グループ Conti は、わずか1か月ほどで世界中の 40以上の企業を侵害し、最速の攻撃は3日で完了しているという。このレポートは、頻発するランサムウェア攻撃において、最も活発な組織 Conti の仕組みを詳述している。Conti は、この2年間で、企業/政府機関/国全体 (コスタリカ) を含む 850以上の被害者を生み出している。

二重恐喝

Conti ギャングの存在が、初めて明らかになったのは 2020年2月のことである。その時、Group-IB の研究者たちは、拡張子が「.сonti」という悪意のファイルを検出している。しかし、このマルウェアの最初のテストバージョンは、2019年11月にまで遡る。

2020年以降、Conti はターゲット企業のデータの暗号化に成功した件数において、Maze や Egregor と並んでランサムウェア・シーンを席巻している。Conti は 2020年に、173人の被害者のデータを専用のリークサイト (DLS) で公開した。2021年末に Conti は、530社に属するデータを DLS で公開し、最大かつ最も攻撃的なグループの1つとしてトップに立った。

そして 2022 年のわずか4カ月間で 156社の情報を掲載し、2022年4月の 46件を含め、2年間で合計 859件の DLS 被害者を生み出した。しかし、実際の被害者数はもっと多いと推測されている。

猛威を振るう

Conti とアフィリエイトたちは、頻繁かつ素早い攻撃を仕掛ける。Group-IB の専門家たちは、このグループで最も生産性の高い光速キャンペーンの1つである、コードネーム ARMattack を分析した。このキャンペーンは約1ヶ月間 (2021年11月17日〜12月20日) しか持続しなかったが、非常に効果的であることが判明した。

攻撃者たちは、世界中で 40以上の組織を侵害している。ほとんどの攻撃は米国で行われたが (37%)、このキャンペーンはヨーロッパなどでも急増し、ドイツ (3%) やスイス/UAE (2%)、オランダ/スペイン/フランス/チェコ共和国/スウェーデン/デンマーク/インド (1%) で被害が発生している。

Group-IB

これまでに Conti が標的としてきた上位5つの業界は、製造業 (14%)/不動産 (11.1%)/物流 (8.2%)/専門サービス (7.1%)/貿易 (5.5%) などである。企業のインフラにアクセスした後に、この脅威アクターは、被害者を特定させる文書を流出させ、パスワード (平文と暗号文) を含むファイルを探し出す。最後に、必要な権限をすべて窃取し、対象となる全デバイスにアクセスできるようにした後に、ランサムウェアを配備/実行していく。

Group-IB の Threat Intelligence Team によると、このギャングが実施した最速の攻撃では、最初のアクセスからデータの暗号化まで、ちょうど3日で完了しているとのことだ。

Conti の稼働時間

ほとんどの Conti のメンバーは、異なるタイムゾーンに配置されているが、スケジュールをみると、彼らの作業効率が高いことがわかる。Conti は、年末年始を除く休日と週末以外、1日平均 14時間稼働している。このグループは正午近くに作業を開始し、その活動は午後9時以降にのみ低下する。

Conti の攻撃対象地域は広大だが、ロシアは含まれていない。ロシア語を話すサイバー犯罪者の間では、「ロシアの企業を攻撃しない」という暗黙のルールがあるが、このグループはそれを遵守している。攻撃の多くは米国で発生しており (58.4%)、次いでカナダ (7%)/英国 (6.6%)/ドイツ (5.8%)/フランス (3.9%)/イタリア (3.1%) となっている。

ロシア企業をターゲットにしないもう一つの理由は、Conti の主要メンバーが自らを愛国者と称していることだ。それが原因となり、2022年2月にグループで内輪もめが生じ、Conti の貴重な情報の一部がネット上に流出するという事態も招いている。

流出したデータに含まれていたものは、プライベートなチャットログ/使用しているサーバー/被害者のリスト/合計 6万 5000 BTC 以上を保管しているビットコインウォレットの詳細などである。流出したチャットからは、グループが深刻な財政難に直面していることや、ボスがレーダーから消えてしまったことが明らかになっている。しかし、メンバーは2〜3カ月後にプロジェクトを再開する準備をしていた。

この裏切りにより、法執行機関の注目を集めたにもかかわらず、Conti の欲求は増大し続け、ついには大企業だけでなく、国全体を攻撃するようになった。2022年4月には、Conti がコスタリカ政府に仕掛けたサイバー戦争により、非常事態宣言が発令されるに至っている。

インセンティブ・プログラム

Conti は、Ryuk/Netwalker/LockBit/Maze といった、他のランサムウェア・オペレーターと緊密に連携してきた。彼らは Maze のランサムウェアのテスト/リバース・エンジニアリングを行い、それにより自分たちのランサムウェアを大幅に改良してきた。ARMattack のキャンペーンを分析したところ、このグループは、以前に開発した Windows 用ツールだけでなく、Linux 用ランサムウェア Conti/Hive も所有していることが判明した。

つまり、このグループは、コードスニペットを再利用せず、独自のツールを作る傾向があるということだ。この場合、彼らのツールのコードを比較しても、共通パターンの特定ができなくなる。

このチャットログが流出する以前において、サイバー・セキュリティ研究者たちは、一部の RaaS (Ransomware-as-a-service) アフィリエイト・プログラムが、実際には Conti 部門であると仮定することしかできなかった。

同時に、そのやり取りは広範囲に及んでいた。Conti が他のイニシャル・アクセス・ブローカーから情報を購入することもあれば、自身のイニシャル・アクセス情報を、収益の 20%という条件で提供することもあった。

正規の IT 企業と同じように

Conti には、人事部/研究開発部/OSINT 部が存在するようだ。それぞれのチームにリーダーがいて、定期的に給与が支払われ、インセンティブ・プログラムも提供される。

Conti の特徴の一つは、自身が最初のアクセス権を得るために、新しい脆弱性を利用することだ。たとえば、log4j モジュールの脆弱性 CVE-2021-44228/CVE-2021-45046/ CVE-2021-45105 を、発見から1週間も経たないうちに悪用し、vCenter Server を攻撃したという事例もある。

また、流出したチャットログは、同グループが新しい脆弱性情報を監視していることも示している。Conti の CEO から技術チームへの指示の1つに、Windows のアップデートを監視し、新しいパッチによる変更を分析するというものがある。このことからも、アップデートを尚早にインストールすることの必要性が改めて強調されている。さらに、Conti のメンバーには、ゼロデイを発見する経験を持つスペシャリストも含まれている。

Group-IB Threat Intelligence Team で Dynamic Malware Analysis Team を率いる Ivan Pisarev は、「Conti のアクティビティ増加とデータ流出は、このランサムウェア・ギャングが、もはやマルウェア開発者間のゲームではなく、世界中の様々な専門性を持つサイバー犯罪者に仕事を与える、RaaS 産業であることを示唆している。Conti は、この業界において、多額の身代金を目的とした “IT企業” を作り上げたプレイヤーである。今後の Conti だが、大規模なブランド再構築の後に活動を続けていくのか、それとも小さなサブ・プロジェクトに分割されていくのか、予測するのは困難だ。しかし、グループが単独で、あるいは子会社プロジェクトの助けを借りて、事業を継続していくことは明らかである」と述べている。

この記事の元データとなるのは、Group-IB の The Conti Enterprise: ransomware gang that published data belonging to 850 companies のようです。Web コンテンツなので、そのまま見れます。文中にある、Conti の内輪もめについては、2021年8月の「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」と、9月の「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」に、詳細が書かれています。また、よろしければ Conti で検索も、ご利用ください。

%d bloggers like this: