2021年にアイルランド共和国の医療サービスを襲ったContiが、姿を変えて新たな脅威として活動しております。ADV INTEL のレポートを元に現在のContiについて、まとめました。
DisCONTInued: The End of Conti’s Brand Marks New Chapter For Cybercrime Landscape
By Yelisey Bogusalvskiy & Vitali Kremez (with special thanks to AdvIntel Intel Production Analyst Marley Smith), ADV INTEL
Conti’s デスノート
2022年5月19日、ランサムウェアContiの公式サイト”Conti News” のコントロールパネルが停止しました。
Conti News -恥ずべきブログは、被害者のデータが掲載された組織の広報媒体でした。(その1つがContiの没落につながったのですが…。)
Mr. “R” & Conti’s 最後のパフォーマンス
Contiは、プロジェクトのフロントマン、別名「サイバーギャングスター」こと “reshaev”:リシャエフなしには成り立ちません。才能あるコーダーであることに加え(彼らはオリジナルのRyuk payloadの黒幕だった)、この人物は優れた統率者であった。スキル、チームワーク、明確なビジネスプロセス、ヒエラルキー、明確な先見性に基づく組織システムを構築し、サイバー犯罪ビジネスにおけるContiの優位性の基礎を築いたのは リシャエフ でした。
リシャエフは、Contiの構造的な問題を見抜いていた–ロシアがウクライナ侵攻を始めた頃、同グループがロシアに忠誠を誓ったため、企業はContiに身代金の支払いができなくなりました。2022年2月以降、収入がほぼゼロとなり、一方でContiの検知は強化され、ほとんど使用されない状態になった。唯一可能な選択肢は、ブランドの再構築でした。
2ヶ月以上前から、Contiは密かにサブグループを作り、操業停止作業の開始前に活動を開始していました。これらのサブグループは、既存のContiの分身と暗号化 マルウェアを利用するか、新しいものを作成する機会を狙っていました。
この選択は、Contiにとって好都合でした。彼らはすでにいくつかのサブグループを別の名前で運営していたからです。KaraKurt、BlackByte、BlackBasta。Conti の再ブランド化により、Conti の元関係者がどのような姿になろうと、Conti の消滅のニュースが広がる前に世間に姿を現し、解散にまつわるストーリーをコントロールし、将来の脅威の影響を大きく悪化させることを確実にすることができたのです。
アウト・ウィズ・ア・バング:Contiのグランドフィナーレ
そして2021年5月8日、コスタリカのロドリゴ・シャベス大統領は、ランサムウェアConti による大規模なサイバー攻撃により、国家非常事態を宣言を行う。この大規模な攻撃は、多数のコスタリカ政府機関に対して行われ、資金を得るための最後の手段であるかのように見られました。
Costa Rica declares national emergency after Conti ransomware attacks
By Ax Sharma , Bleeping Computer
しかし、ADV INTELの偵察と情報収集の結果、見かけとは異なる結論が導き出されました。Conti が最後の攻撃で成し得たかった目標はただ一つ、プラットフォームを宣伝の道具として利用し、自分たちの死と再生を演出することだったのです。
有害なブランドの処分:Contiのその後
Contiが陽動作戦にいそしんでいる間、KaraKurt、BlackByteなど、Contiの延長線上にありながらContiを名乗らないグループが、息を潜めながらも、極めて活発に活動していた。また、Conti一派と優秀な内部侵入のスペシャリストたちも、BlackCat、AvosLocker、HIVE、HelloKitty/FiveHands、およびその他のランサムウェアグループの幹部と提携し、これまで以上に積極的に活動しています。これらのペンテスターは、Contiを生み出した人々への忠誠心を保ちつつ、最終的にContiの名前とイメージを払拭するために、他のランサムウェアグループとの共同作業を続けました。
REvilがロシア政府によって最終的に排除されたことに関して、ロシアのウクライナ侵攻が進む中、ロシアの国家安全保障機構が、同盟国でありながら不正に独立した行動をとったランサムウェアグループを排除し、サイバースペースに対して政府の統制力を行使しようとしていることは、もっともな話かもしれません。
ADV INTELは、ロシア連邦保安庁がグループに圧力をかけていたことを示唆する Conti の指導者の内部情報を入手しており、非公式な証拠が絡んでいるとはいえ、Conti では REvil と同様のシナリオが繰り返されており、忠誠を誓ったにもかかわらずロシア当局のターゲットとなっただけかもしれないのです。
次に、ロシアのウクライナ侵攻に忠誠を誓ったContiは、民族的にウクライナ人であるメンバー、ロシア人でありながらウクライナを支持するメンバー、あるいは単に反戦倫理を維持したいメンバーから、内部対立を引き起こし、Contiに対する信頼が失われました。
このメンバーの一人が裏切り、Contiのチャットログを流出させたことを考えると、この争いはContiの自業自得としか言いようがない。
‘I can fight with a keyboard’: How one Ukrainian IT specialist exposed a notorious Russian ransomware gang
By Sean Lyngaas, CNN
最後は、ロシア政府に忠誠を誓ったことで、Contiというブランドが、究極の制裁を受けているロシアと結びついてしまったことだった。
Contiへの身代金支払いは、制裁下にある国家に渡った可能性があり、単なるデータ窃取がOFAC規制と対ロシア制裁の違反となったのです。この影響によって、2022年5月6日、米国国務省がContiの取締につながる情報に対して最高1000万米ドルの報奨金を提供することへとつながりました。
The Conti ransomware group has targeted over a thousand organizations, extorting over $150 million in ransoms. Today @StateDept is offering rewards for information on Conti leadership and its affiliates. https://t.co/0RFkLKgK3U
— Ned Price (@StateDeptSpox) May 6, 2022
Contiは数ヶ月前からリブランディングを計画し、それを実行するための包括的な戦略を用意していた。この戦略は、2つの柱に基づいています。
まず、Contiはネットワーク型の組織構造を採用し、これまでのContiの硬直した階層構造から、より水平で分散化された組織構造を採用しています。この構造は、独立した部門や別のランサムウェア集団の中に存在する部門など、複数の対等な部門からなる連合体です。しかし、それらはすべて互いにContiの指導者リシャエフに対する忠誠心によって結束されることになります。
現時点では、このネットワークには以下のグループが参加しています。
TYPE1. 完全自律型:
Locker ransomware は使わず、純粋にデータを盗む
- Karakurt
- BlackBasta
- BlackByte
TYPE2. 半自立型:
Locker ransomware を使用するために、他の共同体の中でContiに忠誠を誓う共同体のアフィリエイトとして活動する
- AlphV/BlackCat
- HIVE
- HelloKitty/FiveHands
- AvosLocker
TYPE3.独立系アフィリエイター:
個々に活動しながらも、Contiへの忠誠心は持ち続ける
TYPE4. M&A(合併・買収):
Contiの幹部が既存の小規模グループに潜入し、小規模グループの名前を残したまま吸収する。小規模グループのリーダーは独立性を失うが、大量のマンパワーが流入し、Contiは新たなサブグループを獲得する
これはRansomware-as-a-Serviceとは異なり、新しいメンバーを受け入れていないようです。また、RaaSとは異なり、このモデルでは、組織的なチーム主導でオペレーションが実行されることを重視しています。メンバー全員が個人的にお互いをよく知っており、その個人的なつながりとそれに伴う忠誠心を活用しています。
このモデルは、従来のContiよりも柔軟性と適応性があり、RaaSよりも安全で弾力性のあるモデルです。
この新しいランサムウェアモデルのもう1つの大きな進展は、データの暗号化からデータ窃取( Data exfiltration )への移行で、データ暗号化の利点を維持しつつ、端末をロックアウト( Locker )する問題を完全に回避することができます。おそらく、これがContiのブランド再構築の最も重要な成果です。
結論
ランサムウェアの歴史という短い、しかし激動のタイムラインの中で、Contiが幕を閉じた2022年5月19日は、未来に影を落とす痕跡を残すことになりました。しかし、Contiの壮大な計画の中では、この日は特別なものではありません。
振り返れば、”Ryuk”時代から”Overdose”時代まで、同じような痕跡がいくつも残っています。それぞれのマイルストーンは脅威の変化を表しており、遠くから眺めると、これらのグループがランサムウェアに影響を与えたことがわかります。しかし、Contiの名の下に結成されたグループは、脅威の新たな景色を求め、これからも歩み続けることでしょう。
