悪名高きランサムウェアグループ「Conti」が解散。それでも安心できない理由とは?
2022年5月19日にランサムウェアグループの「Conti」が解散していることが確認されました。「Conti」は近年、世界規模で様々な攻撃に参加していることが注目されており、トレンドマイクロによると、2020年と比べてグローバルでのContiが開発した標的型ランサムウェアの検出台数が10倍近くに増加しているというデータもあります。*1
本記事では、ランサムウェアグループContiと今回の解散劇の経緯についてご紹介します。
1.Contiとは?
Contiは2020年に登場したランサムウェア攻撃者集団です。イスラエルのサイバーセキュリティ企業「サイバーイント」によると、Contiは350人ほどのメンバーがおり、企業のような組織構造になっています。毎月業績評価を行い、その評価に応じて賞与や、逆に罰金が科せられるなど一般企業のような組織構造となっており、高度に組織化がされていることが分かっています。*2
また、業務ごとに部門が細かく分かれており、ランサムウェアの開発者、配送者(攻撃対象にランサムウェアを送りつける人)、身代金交渉人、権限昇格担当など分野ごとにプロフェッショナルが業務を担当することで、攻撃の成功率や身代金獲得の利益率を上げてきています。Contiはこのような高度な分業制、組織化を生かし、開発したランサムウェアや各分野のエキスパート達の人的リソースを「サービス」として販売するRaaS(Ransomware-as-a-Service)というビジネスモデルも運営しています。
2020年春から2021年の春にかけて400回以上の攻撃を行ったことが報告されており、2022年まで27億ドル(約3507億円)相当の暗号資産を稼いだと推測されています。また、日本企業への攻撃も確認されており、現在最も活動が活発なランサムウェア攻撃者集団の一つとなっています。今年2月以降日本企業の間で感染被害が拡大しているEmotet関連のハッカー集団にContiが関与していることも確認されています。*2
2.Conti解散の経緯
今回の解散劇についてはAdvanced Intelligence社が詳しく解説しています。
Advanced Intelligence社は2022年5月19日にContiの公式Webサイトである「Conti News」の管理画面が閉鎖されたと報告しています。*3
また、公式サイトの閉鎖に合わせて身代金交渉サービスサイトもダウンし、Contiのチャットルーム、メッセンジャー等に至る大規模なリセットが行われています。
身代金要求のために被害者のデータを公開するなどの攻撃を行うための重要な運用機能は停止している状況となっています。
※ただそうした中でもConti Newsの宣伝機能は未だにアクティブで、公式サイトの閉鎖後も記事が投稿されています。
Advanced Intelligence社はこの動きは突発的なものではなく計算された動きであると指摘しており、4月下旬ごろからその兆候はあったと報告しています。Contiは何らかの理由で以前からグループの解散を計画していたとみられています。
3.これで脅威は去った?
2022年5月19日にContiが解散していることが発表されていますが、攻撃活動が停止しているわけではありません。Contiの元メンバーは小規模なランサムウェア運営グループへと徐々に移行し、今後も攻撃活動を行っていくだろうとAdvanced Intelligence社が指摘しています。*4
同社が発表したレポートによると、Conti は HelloKitty、AvosLocker、Hive、BlackCat、BlackByte などのランサムウェア・オペレーターと提携しています。Contiが消えていてもContiに所属したメンバーは他のランサムウェアの暗号装置を利用することで攻撃を継続させることができます。また、新たなグループの立上げによっても攻撃活動の継続は可能だとAdvanced Intelligenceが述べています。*5 実際にContiは「Gold Ulrick」という呼称で追跡されていることが確認されています。*6
4.まとめ
本記事では、ランサムウェアグループ「Conti」解散について解説しました。前述のとおりContiが解散したからといっても、グループにいた攻撃者たちは別の形で活動を継続すると考えられており、引き続き警戒が必要な状況となっています。これまでと同様に攻撃者の活動は活発に行われていきますので皆様も必要な対策を行っていきましょう。
最後にランサムウェア対策で日頃からできる対策を挙げ、記事の締めとさせていただきます。
読者の皆様も以下の点について今一度確認してみてください。
・怪しい添付ファイルは開かない
ランサムウェア感染の多くはメールの添付ファイルの実行がきっかけとなっています。知人や取引先からのメールであると思われるものであっても充分注意しましょう。
・OSやミドルウェアの脆弱性対策
攻撃の入り口としてOSやミドルウェア、NW機器の脆弱性を利用されることがあります。日頃から自組織の環境の棚卸や脆弱性情報の収集を行っていきましょう。
・データのバックアップ
最悪のケースである、感染してしまった場合を想定した事前準備も必要です。ランサムウェアに感染した場合端末のデータを暗号化されてしまいますので、復旧が可能なようにバックアップを取っておきましょう。
上記で挙げたようなシステムでのサイバーセキュリティ対策、一人一人のセキュリティ意識向上の他にも、
攻撃者の動向をいち早く察知するため、脅威インテリジェンス等での情報収集という観点も重要になっていきます。
これらの点を日頃から意識し、攻撃の被害に遭わないよう対策を行っていきましょう。
脚注(参考文献一覧)
- INTERNET Watch|標的型ランサムウェア「REvil」「LockBit」「Conti」の3種が猛威〜トレンドマイクロが報告書(参照日:2022-6-10)
- Foresight|ロシア系ランサムウェア攻撃者集団「コンティ」大量リークの真相(参照日:2022-6-10)
- ADV INTEL|DisCONTInued: The End of Conti’s Brand Marks New Chapter For Cybercrime Landscape(参照日:2022-6-10)
- マイナビニュース|悪名高いランサムウェア攻撃グループ「Conti」が5月19日に解散 (参照日:2022-3-18)
- IoT OT Security News|Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた(参照日:2022-6-10)
- The Hacker News|Conti Ransomware Operation Shut Down After Splitting into Smaller Groups(参照日:2022-6-10)
