ランサムウエアグループContiが、ロシアのウクライナ侵攻を支持する声明を発表しました。これを受けて2022年2月27日、ウクライナ人研究者と思われる人物が、同グループのメンバー間で交わされたやり取りをリークしました。KELAはこのグループの進化とTTP(戦術、技術、手順)、組織体制を理解するべく、このリーク情報を分析しました。
主な調査結果:
- リークされたグループ内のやり取りから、当初は特定のランサムウエアグループに所属していなかったランサムウエア攻撃者たちの集団が進化していった流れが明らかとなりました。彼らは様々なランサムウエアを扱っており、RyukやConti、Mazeをそれぞれ別個のプロジェクトとして話し合っていました。そして彼らの活動が、最終的に現在のContiのオペレーションを形成するにいたりました。
- Contiは様々なマルウエアやツールを使用していました。我々は、ContiとTrickBotやEmotet、BazarBackdoor(初期アクセスを入手するために使用)に強いつながりがあったことを裏付ける証拠を発見しました。またランサムウエアDiavolは、Contiの「サイドプロジェクト(本業とは別のプロジェクト)であると思われます。合法ツールについては、ContiがVMware CarbonBlackやSophosの製品をテストしようとしていたことが明らかとなりました。
- Contiは、初期アクセス・ブローカーのサービスを利用して初期アクセスを入手していました。
- リークされた会話の中では、約100の被害者(組織)が言及されていましたが、Contiのブログではその約半分が公開されていませんでした。この点を調査する中で、ランサムウエア展開前後の様々なステップをはじめとする攻撃プロセスが明らかとなりました。
- Contiのメンバーは、米国の公的セクターを攻撃することに興味を示していました。
- Contiのグループは高度に組織化されており、ハッカー、コーダー、テスター、リバースエンジニアリングスペシャリスト、クリプター、OSINTスペシャリスト、交渉者、ITサポート、HRなどのチームで構成されています。
- KELAは、アクターの上位15人(やり取りされたメッセージの件数に基づく)に関する詳細な説明と、彼らの相関図を作成しました。