テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

二重恐喝ビジネス:ランサムウェアギャングContiが見つけ出した新たな交渉方法

Justin Fier, Director of Cyber Intelligence & Analytics | 2021年12月8日水曜日

以前のブログでは、ロシアのハッカーグループ ‘Wizard Spider’ が開発したRyukランサムウェアが、末端のサイバー犯罪者達の手にも渡っていることを紹介しました。

Wizard Spider はロシア政府の支援を受けて活動しているとされ、FBIとインターポールによる捜査対象となっていますが、彼らは2020年に Ryuk ランサムウェアの後継種 ‘Conti’ を採用しています。Conti はすべてのWindowsオペレーティングシステムに影響し、400件以上のインシデントに関与しています。Wizard Spider はその後ほどなく ‘Conti Ransomware Gang’ という名前にブランドを変更しました。ただしこのグループは必ずしも自身を「ギャング」とは見ていません。彼らはむしろ自らを「ビジネス」であるとしています。

ランサムウェアバブル

ランサムウェアは数十億ドル規模の産業となっています。そしてConti Ransomware Gangは2020年、その15%を占めたと言われています。このような規模の収入を持つようになるとContiのようなグループも一般のビジネス慣行の真似事を一部取り入れるようになります。この偽企業は彼らの標的を「カスタマー」、彼らの脅迫を「ネゴシエーション」、彼らの犯罪者仲間を「アフィリエイト」と呼んでいるのです。果ては専用のDark Webサイトで「プレスリリース」を発表する有様です。

彼らのRansomware-as-a-Service「ビジネスモデル」は、アフィリエイトを採用し、Contiランサムウェアの展開と管理をトレーニングし、彼らの利益の30%を回収するという方法です。しかし、具体的な利益はマルウェア作成者のみが知りアフィリエイトには知られていないため、多くの場合Contiの取り分は彼らが主張する30%よりもずっと大きいのです。

サイバー地下世界では詐欺に対するチェックや規制はないかもしれませんが、Conti が免れることのできなかったビジネス上の問題の1つは、不満を持った従業員でした。

上司の不当な扱いに不満を持った低賃金のアフィリエイトは2021年8月、Conti Ransomware Gangのトレーニング教材と彼らのCobalt Strike C2サーバーのIPアドレスを公開し、「やつらはカモを集めて働かせ自分たちでカネを分け合っている」と主張したのです。

当時、米国政府もConti Ransomware Gangのようなグループの収益構造を中断させるため、ランサムウェアの取引に利用されていると見られている暗号通貨交換所に制裁を課すなどの厳しい措置を取っていました。しかし、このようなリークや規制はContiを破滅させるには程遠いことが証明されました。

現実には、これらのアクションによってConti Ransomware Gangがいわゆる「カスタマー」を失うことはなく、カスタマーのあるところ、利益もあるのです。サイバーセキュリティを従来のルールベースの手段に頼っているあらゆる個人や組織は彼らのターゲット市場です。

DarktraceのAIは最近、8月にリークされた手法の1つによって実行されたConti攻撃を検知しました。標的となった組織は米国の運輸会社でした。この会社はDarktraceのトライアル利用中でしたが、Darktraceの自動遮断技術をアクティブモードに設定していなかったため、攻撃の進行を許してしまいました。しかし、その進行の様子を精査すると、このような二重恐喝ランサムウェア攻撃がどれほど大きな脅威となるかがわかるとともに、Darktraceによって攻撃の各ステージでこれを効果的に阻止することが可能だということが明らかになります。

図1:攻撃のタイムライン

Conti Ransomware Gangはランサムウェアのプレイブックを多様化

たった1つのMicrosoftパッチをインストールしなかったために、標的となった組織は危険なProxyShell脆弱性を抱えることになりました。Contiはこの脆弱性につけこみ、この会社のサーバーに対してリモートでExchange PowerShellコマンドを実行する権利を獲得し、着実にそのプレゼンスをデジタル環境内に広げていきました。これは、これまでフィッシング攻撃やファイアウォールのエクスプロイトに頼ってきたConti Ransomware Gangにとっては比較的新しいアプローチです。アプローチを多様化させることによって、パッチやインテリジェンスに先回りしているのです。

最初の侵入から2週間後、フィンランドにある不審なエンドポイントに対してC2接続が行われました。これは一見無害に見えるもののこの組織にとって100%未知のSSLクライアントを使って行われていました。Autonomous Responseがアクティブモードに設定されていれば、Darktraceがこの非常に早い段階で接続をシャットダウンしていたでしょう。

この疑わしいエンドポイントのIPアドレスは後にConti IoC(Indicator of Compromise)と特定され、ルールベースのセキュリティソリューションにも組み込むことが可能になりました。しかしこの会社はこのインテリジェンスが入手可能になる何週間も前に侵入されていたため、これはほとんど意味がありませんでした。

Contiは内部偵察を継続し、この会社のデジタル環境内を水平移動しましたが、Darktraceはさらなる不審なアクティビティを検知していました。フィンランドにある疑わしいエンドポイントが新しい‘Living off the Land’ (環境に寄生する) テクニックを使って、通常であれば正当なツールである AnyDesk および Cobalt Strike を環境内のさまざまな場所にインストールしたのです。

一連のSSL接続がAnyDeskエンドポイントおよび外部ホストに対して行われ、そのうちの1つは95時間継続していました。これはConti傘下の何者かがアクティブなリモートセッションを行っていたことを表しています。この段階で、Darktraceは攻撃が差し迫っていることを疑う10個の明確な理由を提示していました。

Conti News:二重恐喝ランサムウェアで取引を成立させる

二重恐喝はConti Ransomware Gangの新たなお気に入りの販売戦術となりました。身代金の支払いを拒否すれば、Contiはあなたの会社の最も重要なファイルを奪うだけではなく、それを専用の ‘Conti News’ ウェブサイトを使って公開し、あるいは競合他社に直接売ることもあります。

この運輸会社のネットワーク全体に存在を拡大すると、攻撃者はこの会社の大量のデータを抜き出しContiが好んで使うクラウドストレージサイト、MEGAに対して急速に転送し始めました。4日間に渡り、3TBを超える量のデータがアップロードされ、次いで暗号化されました。

人間のセキュリティチームによる検知を逃れるため、暗号化は真夜中近くになって開始されました。Contiの「営業」は営業時間に関係なく行われるのです。この会社のセキュリティチームが翌日出社すると、脅迫状が残されていました。

貴社のすべてのファイルは現在CONTIマルウェアにより暗号化されています...。ご存じの通り(ご存じない場合はググってください)、すべてのデータは私達のソフトウェアで暗号化されており、直接ご連絡頂かない限り、どのような手段でも復元することはできません...リカバリソフトウェアの使用を試みた場合、ファイルは破損するかもしれません。もしそうするおつもりなら、最も価値の低いデータで試してみてください...私達が本当にデータをお返しできることを証明するため、ランダムに選ばれた2個のファイルを無償で復号化して差し上げます。

しかしお気を付けください!万が一、この通知を無視された場合、私達は貴社の内部データをダウンロード済みであり、貴社からの返答がなければ私達のニュースウェブサイトで公開する準備ができています。ですから、できるだけ早くご連絡頂くことがお互いのためです。

この攻撃が進行してしまったのは、Darktraceがまだトライアル運用中であり脅威の検知はできたもののそれらに対するアクションを取ることが許可されていなかったためです。自動遮断技術がアクティブモードで運用されていれば、このランサムウェア攻撃は非常に速い段階で、Darktraceが最初に疑わしい接続を検知した時に終了していたはずです。

それでも、Cyber AI Analystが自動的に調査を行い、これらの点と点をつなぎ合わせることができたので、このように部分的なDarktraceの運用であっても、これがなかった場合と比較して修正のための作業は大幅に短縮され、かつ簡単に行うことができました。

図2:Cyber AI Analystはデータ抜き出し発生後インシデントレポートを生成

Conti Ransomware Gangはサイバーインテリジェンスをどのように回避するか

脅威を検知するのにヒューマンインテリジェンスに依存しているセキュリティシステムは、Contiが理想とする顧客プロファイルに完璧に一致しています。RyukからContiへ、そしてスピアフィッシングやファイアウォールのエクスプロイトからProxyShellアプローチへと手口を適応させ多様化することにより、Contiは各種規制をすり抜け彼らの脆弱な顧客ベースをしっかりと把握しています。

Conti Ransomware Gangが内部リークや法規制により壊滅したとしても、この違法な利益を狙って他のグループが台頭し、市場の隙間を埋めるでしょう。こうしたグループを本当に阻止するには、利益が得られないようにしなければなりません。

米国政府は身代金を支払った側に罰金を科すことによりこれを行おうとしましたが、それでも多くの企業はデータを復旧できないことによる損失はあまりにも大きすぎると考えています。前述の通り、問われるべきなのは「支払うべきか支払わないべきか」ではありません。

もし支払うべきか支払わないべきかを考えているならば、あなたは既に深みにはまっているのです。DarktraceはContiのようなグループと最初に遭遇した時点で阻止します。この事例でも明らかになったように、Darktraceの自己学習型AIは人間のアナリストや脅威インテリジェンスが検知できるようになる何週間も前に脅威を識別し、Autonomous Responseにより攻撃のあらゆる段階でこれらを無害化することができます。

この脅威についての考察はDarktraceアナリストSam Lister が協力しました。

ランサムウェア対策のためのDarktrace:さらに読む

技術的詳細

IoC

IoCコメント
70.39.126[.]171Autodiscoverサーバー上に足掛かりを得るために使われた外部エンドポイントのIPアドレス
135.181.10[.]218外部エンドポイントがPowerShellコマンドをサーバー上で発行したことによりAutodiscoverがコンタクトした(と思われる)外部エンドポイントのIPアドレス
64.120.44[.]116Autodiscoverサーバーに対してPowerShellコマンドを発行した可能性のある外部エンドポイントのIPアドレス
92.223.88[.]7
64.31.35[.]242
203.10.96[.]34
103.253.43[.]112
AnyDesk接続が行われたエンドポイントのIPアドレス
7070番ポートAnyDesk ポート
d1n2x5h0loustn[.]cloudfront[.]netCobalt Strikeコマンド&コントロールサーバーのホスト名
13.226.235[.]221
13.225.141[.]128
13.225.141[.]32
13.226.235[.]11
Cobalt Strikeコマンド&コントロールサーバーのIP
rclone/v1.53.3HTTPデータ抜き出しに使われたユーザーエージェント文字列
.UGKMP暗号化されたファイルにアペンドされたファイル拡張子

Darktrace によるモデル検知結果:

  • Device / Long Agent Connection to New Endpoint
  • Device / ICMP Address Scan
  • Anomalous Connection / SMB Enumeration
  • Anomalous Server Activity / Outgoing from Server
  • Compromise / Beacon to Young Endpoint
  • Anomalous Server Activity / Rare External from Server
  • Compromise / Fast Beaconing to DGA
  • Compromise / SSL or HTTP Beacon
  • Compromise / Sustained SSL or HTTP Increase
  • Compromise / Beacon for 4 Days
  • Anomalous Connection / Multiple HTTP POSTs to Rare Hostname
  • Unusual Activity / Enhanced Unusual External Data Transfer
  • Anomalous Connection / Data Sent to Rare Domain
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Compliance / SMB Drive Write
  • Anomalous File / Internal / Additional Extension Appended to SMB File
  • Anomalous Connection / Suspicious Read Write Ratio
  • Anomalous Connection / Suspicious Read Write Ratio and Unusual SMB
  • Anomalous Connection / Sustained MIME Type Conversion
  • Unusual Activity / Anomalous SMB Move & Write
  • Unusual Activity / Unusual Internal Data Volume as Client or Server
  • Device / Suspicious File Writes to Multiple Hidden SMB Shares
  • Compromise / Ransomware / Suspicious SMB Activity
  • Anomalous File / Internal / Unusual SMB Script Write
  • Anomalous File / Internal / Masqueraded Executable SMB Write
  • Device / SMB Lateral Movement
  • Device / Multiple Lateral Movement Model Breaches

観測されたMITRE ATT&CKテクニック:

Initial AccessT1190 – Exploit Public-Facing Applications
ExecutionT1059.001 — Command and Scripting Interpreter: PowerShell
Command and ControlT1573 — Encrypted Channel
T1219 — Remote Access Software
DiscoveryT1018 — Remote System Discovery
T1083 — File and Directory Discovery
ExfiltrationT1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage
Lateral MovementT1021.002 — Remote Services: SMB/Windows Admin Shares
ImpactT1486 — Data Encrypted for Impact

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of VP, Tactical Risk and Response at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.