ランサムウェアグループ「Conti」による新しいマルウェアのソースコードがリークされたようだ。Contiがロシアへの支持を表明したことに不満を持つサイバーセキュリティ研究者が流出させたと報道されている。
Bleeping Computerによると、この研究者は、Contiランサムウェアグループがロシアのウクライナ侵攻を公然と支持したことに憤慨した。
その報復として、ウクライナ出身とみられるこの研究者は、ランサムウェアグループに自らがハッキングされることを身をもって体験させることにしたようだ。
Contiはロシアを拠点とするとみられるランサムウェアグループで、サービスとしてのランサムウェア(RaaS)のビジネスモデルも運営している。身代金の支払いは数百万ドル規模になることもあるが、サイバーセキュリティ企業Covewareによると、Contiの平均的な要求額は76万5000ドル(約9000万円)程度だ。
現地時間3月19日の週末に、「conti leaks」というTwitterのハンドル名で、新しいパッケージへのリンクが公開された。ソースコードはVirusTotalにアップロードされており、パスワードで保護されているが、ファイルを開くために必要な情報は、ツイートからサイバーセキュリティ関係者であれば分かるようになっているという。
この親ウクライナ派の研究者は以前、このランサムウェアの旧バージョンの情報もリークしている。
ランサムウェアのソースコードを盗み、公開すると、サイバーセキュリティ研究者やベンダーは、マルウェアを分析する機会を得られるため、拒否リスト、防御策、復号ツールなどを作成できる可能性がある。しかし、その一方で、別の攻撃者がコードを入手、適応し、マルウェアキャンペーンを展開することもできる。
Contiがロシアによるウクライナ侵攻を支持すると表明したことで、グループ内部のチャットログが流出する事態が発生したとの報告もあった。
ログによると、Contiはさまざまな役割を担うメンバーで構成されており、マルウェアのコーダーとテスター、システム管理者、さらには採用者に対応する「人事」担当者、そして被害者に身代金支払いなどを要求する交渉人などが含まれる。
Check Pointの研究者が流出データを分析した結果、Contiの採用プロセスについて興味深いことが明らかになった。一部のメンバーは、アンダーグラウンドのフォーラムを通じて採用されているものの、候補者の中にはサイバー犯罪者と面接していることを知らされていない者もいるという。正当なペネトレーションテスト(侵入テスト)や分析ツールの開発を手伝う職務であると告げられている。
Contiは2021年5月に、アイルランドの公的医療サービスを提供するHealth Service Executive(HSE)に、壊滅的なサイバー攻撃を仕掛けたことで知られている。HSEは、数百万ドルに及ぶ身代金の支払いを拒んだものの、復旧のために4800万ドル(約57億円)以上の出費を余儀なくされたと報じられた。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)はこれまでに、Contiについて警戒するよう組織に警告している。米国内だけでも、数百の組織がContiの被害に遭ったと推測されている。
Googleの脅威分析グループ(TAG)は先週、ContiやDiavolなどの脅威グループにネットワークアクセスを販売する「初期アクセスブローカー」(IAB)の「EXOTIC LILY」について、詳細を説明している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。