Conti がデータ漏洩と交渉のサイトを閉鎖:サイバー犯罪シンジケートとして活動を継続?

Conti ransomware finally shuts down data leak, negotiation sites

2022/06/24 BleepingComputer — Conti ランサムウェア・オペレーターは、データを漏洩させ、被害者と交渉するために使用されていた、Tor サーバで構成されるパブリックなインフラをついに閉鎖し、悪名高いサイバ犯罪ブランドとしての幕を閉じた。脅威情報アナリストの Ido Cohen によると、Conti のサーバーは水曜日にシャットダウンされており、現時点においてもオフラインであることを、BleepingComputer も確認している。

Conti のデータ流出サイトがオフラインに
Source: BleepingComputer

2022年5月に BleepingComputer は、Conti が業務を停止し始めたことを報告している。Conti のメンバーに対しては、このブランドが存在しないことが伝えられ、通信サーバ/ストレージ・サーバなどの内部インフラが廃止されていた。しかし、Conti は1人のメンバーを残留させ、データ流出とコスタリカへの攻撃を続けていた。つまり、運営を続けているように見せかけ、その間にメンバーは静かに、他のランサムウェア・グループに移っていったとのことだ。

5月の Advanced Intel は、「Conti が、最後の攻撃で果たしたかったのは、このプラットフォームを宣伝ツールとして使い、自分たちの死と再生を、思いつく限りの最もらしい方法で行うことだった」と説明している。

Conti は、活動を継続しているように装っていたが、新たなランサムウェア攻撃は行わず、残留メンバーが流出させたデータは古い攻撃によるものだった。研究者たちや警察を混乱させるため、Conti のサイトと、Hive のデータリーク・サイトの両方で、同じ被害者のデータを公開していた。結局のところ、Conti ランサムウェアの残りのメンバーが、他のランサムウェアの運営に潜入/乗っ取るという、見せかけに過ぎなかったのである。

悪名高いランサムウェア・グループRussia

ロシアのランサムウェア・グループである Conti は、ランサムウェア Ryuk の後継として、2020年夏に登場した。それ以来の Conti は、米タルサ市/ブロワード郡公立学校/Advantech などに対する、数々の有名な攻撃に関与してきた。しかし、彼らを有名にしたのは、アイルランドの Health Service Executive (HSE)/Department of Health (DoH) を攻撃し、数週間にわたって同国の IT システムをシャットダウンさせたインシデントである。

また、Conti の最大のハッキング・キャンペーンは、2021年11月17日〜12月20日にかけて行われ、40以上の組織に侵入している。時間の経過とともに、Conti はサイバー犯罪シンジケートへと成長し、TrickBot/BazarBackdoor などの、さまざまなマルウェアの開発を引き継いできた。

ウクライナ侵攻をめぐり、Conti がロシア側についた後に、ウクライナのセキュリティ研究者が、Conti のランサムウェア暗号のソースコードと、17万件以上の内部チャットの会話を流出させた。

Conti siding with Russia over the invasion of Ukraine
Conti siding with Russia over the invasion of Ukraine
ウクライナ侵攻でロシア側についた Conti
Source: BleepingComputer

これは、エリート・ハッキング・グループにとって恥ずべき出来事だった。法執行機関とセキュリティ研究者たちに、内部の私的な会話を暴露されたことに気づいたことで、すぐにデータの分析が開始された。

さらに、他のセキュリティ研究者たちや、ウクライナの法執行機関に所属すると思われる人々が、Conti/TrickBot のメンバーの Twitter アカウントや、会話/住所などを晒し始めたことで、このランサムウェア・グループにとての事態は悪化していった。そのため、彼らが活動を停止するのは時間の問題だった。

消えたように見せかけている Conti

Advanced Intel の Yelisey Boguslavskiy は、「Conti は活動停止したように見えるが、サイバー犯罪シンジケートとして活動し続けており、Conti ブランドが停止しただけに過ぎない」と、BleepingComputer に述べている。

現時点において、Conti グループのメンバーたちは、他のランサムウェアのオペレーションに潜入したり、既存のオペレーションを引き継いだりと、小さなセルに分かれて活動している。しかし、これらのメンバーは、少数の管理者グループにより運営され、シンジケートに対しては依然として忠実である。

数多くのメンバーを複数のグループに分散させることで、1つのセルが逮捕されるケースや、法執行機関により停止させられるケースに備え、オペレーション全体が停止することを防いでいるのである。さらにメンバーは、シンジケートの一員であるペンテスター/開発者/プログラマーを利用しながら、必要に応じてオペレーションから別のオペレーションへと移っていく。

現在、Conti の旧メンバーが参加していると認識されるランサムウェア・グループには、Hive/AvosLocker/BlackCat/Hello Kitty などがあり、最近に復活した Quantum の各事業も含まれる。また、Karakurt/BlackByte/Bazarcall などの、データを暗号化しない、独自のデータ強奪オペレーションを開始したメンバーも存在する。

このように、Contiの脅威は、異なるオペレーションを展開しているだけで、依然として世界中の被害者を積極的に狙っている。企業は警戒を怠らず、サイバー・セキュリティの習慣を身につける必要がある。

つい先日に掲載した、「Conti 解体新書:研究開発部/人事部を有するグローバル RaaS 産業に成長」では、「大規模なブランド再構築の後に活動を続けていくのか、それとも小さなサブ・プロジェクトに分割されていくのか、予測するのは困難だ」と解説されていました。しかし、5月19日の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」にあるように、すでに分散化の方向へと、舵は切られていたようです。よろしければ、Conti で検索を、ご利用ください。

%d bloggers like this: