Contiランサムウェア、北米および欧州でダブル・エクストーション攻撃を実行

サイバーセキュリティの分野では比較的新しい脅威であるにもかかわらず、Contiランサムウェアはすでに世界中の組織にとって大きな脅威となっています。2020年5月に出現して以来、セキュリティ研究者は北アメリカや西ヨーロッパを中心に、少なくとも150件の小売、製造、建設などの業界に対する攻撃が成功したと報告しています。特に、Contiの運営者は二重恐喝の手法を被害者に対して適用し、復号化の身代金を要求し、支払われない場合には盗まれたデータを漏洩させます。

Contiランサムウェアとは何ですか？

最新の 分析によれば Cyberseasonによると、Contiは非常に攻撃的なマルウェアで、自己拡散、迅速な暗号化、回避成功、横展開が可能です。現在、Ransomware-as-a-Service（RaaS）モデルに基づいてさまざまなダークネットフォーラムで積極的に宣伝されています。さらに、Conti GangはTrickBotの維持者と独占的なパートナーシップを確立し、2020年夏にはContiの代わりにRyukランサムウェアを上位に置きました。TrickBotギャングによる強力なプロモーション、迅速なアップデートサイクル、共有されたコードサンプル、そして強化された機能により、Contiランサムウェアはその悪意のある機能においてRyukの完全な後継者となっています。

Conti Gangは2020年5月以来、3つのバージョンのランサムウェアを投入し、それぞれのリリースごとにさらに悪名を高めています。最新バージョンには以下が含まれます：

• 侵害されたネットワーク内で複数のホストをロックするためにSMBを活用する改良された拡散機能；
• 32の同時暗号化スレッド内での迅速なファイルロックを達成するためにマルチスレッド技術を使用した改良された暗号化処理；
• Windows API呼び出しを隠し、専用のPythonデバッガを利用することで分析回避を可能にする強化された回避戦術。

ClearSkyのセキュリティ研究者によって 明らかにされた ところによると、Contiランサムウェアの運営者は、Wizard Spiderとして知られるロシア系のハッカー集団に関連している可能性があります。以前、この脅威グループは悪名高いRyukランサムウェアを維持していたとされ、未公表のカナダ企業に対する攻撃の分析は、Contiの侵入の背後に同じ行為者がいることを示しています。

Contiランサムウェア攻撃

セキュリティ専門家によれば、Contiは主にTrickBotの悪意のあるインフラストラクチャの助けを借りて展開されます。感染の流れはほとんどの場合同じパターンに従います。被害者は、その本文に悪意のあるリンクが挿入されたフィッシングメールを受け取ります。クリックされた場合、URLはユーザーをBazarトロイの木馬の実行ファイルを含むGoogleドライブにリダイレクトします。一旦インストールされると、Bazarは侵害されたネットワークにContiランサムウェアを落とします。

現在までに、Conti Gangは世界中で150以上の企業を攻撃し、その多くが北アメリカに位置しています。被害者の数は絶えず増加しており、ランサムウェアの運営者によって立ち上げられた専用のContiウェブサイトに反映されています。敵対者はこのウェブページを二重恐喝のスキームに使用し、盗み出された情報の一部を漏洩し、身代金の支払いを被害者に迫ります。例えば、2020年12月、Contiの開発者は、から取得したと推測される3GB分のデータを含む2つのZIPアーカイブを配置しました。 アドバンテックIoTメーカー。同月、ハッカーはデータを スコットランド環境保護庁 （SEPA）からのデータをそのウェブページに漏洩しました。この悪名高いランサムウェアグループの最近の攻撃は、Leon Medical CentersやNocona General Hospitalを含む複数の米国の医療機関を襲撃しました。Conti Gang は、数百の患者記録を恐喝目的で漏洩しました。 hundreds of patient records in an extortion attempt.

Conti検出

SOC Primeで最も活発な脅威ボウンティ開発者の一人である Osman Demirは最近、Conti攻撃を検出するための専用のSigmaルールをリリースしました。Contiランサムウェアの感染に関連する技術や手順を特定し、攻撃を防ぐためには、次のリンクから脅威検出マーケットプレイスから専用のSOCコンテンツをダウンロードしてください。

https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/

このルールには以下のプラットフォームへの翻訳があります：

SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Microsoft Defender ATP, CrowdStrike

MITRE ATT&CK:

戦術: 影響、権限昇格、防御回避、ディスカバリー

技法: 影響を目的としたデータ暗号化 (T1486), プロセスインジェクション (T1055), リモートシステムディスカバリー (T1018)

脅威検出マーケットプレイスに有料でアクセスすることができない限り、この専用のSigmaルールはコミュニティサブスクリプションで無料トライアルを有効にすることでアンロックされます。加えて、Conti感染をカバーするコミュニティSigmaルールにも注意を払うことをお勧めします。 https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context 

脅威検出マーケットプレイスに登録してください100K以上の検出と対応ルールを容易にさまざまなプラットフォームに変換できる世界最大のDetection as Codeプラットフォームです。SOC Primeのサイバーディフェンダーコミュニティに参加し、業界をリードするSOCコンテンツライブラリーに貢献する意欲はありませんか？ より安全な未来に向けて、私たちの脅威の報酬プログラムに参加してください！ より安全な未来に！