ContiLeaks: ウクライナのサイバーセキュリティ研究者によって流出したContiランサムウェアグループのチャットとソースコード

最も凶悪なロシア支持のランサムウェアアクターの一つ、 Contiグループが、データ漏洩の被害者となりました。2022年2月27日、謎のTwitterメンバー @ContiLeaks が、プライベートメッセージとContiのソースコードが入ったアーカイブへのリンクを伴う一連の投稿をし始めました。内部告発者の他の投稿から、彼がウクライナ出身であることは非常に明白です。 

良いニュースは、現在Contiのランサムウェアのソースコードが公開されていることで、防御側のサイバーセキュリティ専門家は逆コンパイルや検出と緩和対策を作成することが可能になったことです。しかし、裏を返せば、他の攻撃者もこのコードを利用して独自の攻撃を行う可能性があります。

Contiランサムウェア検出

SOC Primeのチームは、クラウドソーシングの取り組みからの貢献によって支えられ、Contiランサムウェア攻撃に対抗する検出コンテンツを継続的に開発しています。SOC PrimeのDetection as Codeプラットフォームにログインすると、多数のSIEM、EDR、XDR形式に翻訳された専用のSigma行動ベースルールにアクセスできます。新規ユーザーは、検出コンテンツを最大限に活用するためにはプラットフォームにサインアップする必要があります。

次のルールを展開して、ネットワーク内での Contiランサムウェア の発生を排除しましょう。

• 可能性のあるContiLeaks漏洩ファイル名（ファイルイベント経由）
• ContiLeaksがPowerShellスクリプトブロックでWindows Subsystem Linuxをインストール
• Conti Ransomwareグループのスケジュールタスク行動（ContiLeaks）
• ContiLeaksがCobalt StrikeからSCHTASKS経由でリモートマシンを操作
• ContiLeaksがPowerShellスクリプトブロックでWindowsイベントビュアーログをクリア
• ContiLeaksがプロセス作成を通じてKatzなしでLsassをダンプ

ContiLeaksの舞台裏

漏洩のわずか数日前、 Contiランサムウェアグループ はウクライナに対する戦争でロシア政府を完全に支持すると宣言しました。ハッカーはまた、ロシアに対するサイバー攻撃を試みる者には重大なインフラに攻撃を仕掛けると脅迫しました。 

このような声明と行動は、Contiグループ内でウクライナの支援者を含むウクライナの関係者、例えばギャングの作戦を秘密裏に調査していた名も無いウクライナの研究者等を刺激しました。ウクライナの支持者の対策は迅速且つ過激でした。研究者は即座にContiの内部情報を公共のチャンネルを通じて漏らし始めました。

漏洩したファイルは、グループのプライベートXMPPチャットサーバー内でのほぼ2年間の内部メッセージを含んでいます。ContiLeaksはまた、ContiのBazarBackdoor API、管理パネル、ビルダー、 暗号化ツール、およびランサムウェアの復号ツールのソースコードを漏洩しました。他のセキュリティ研究者は、保護されたアーカイブのパスワードを解読し、チャットメッセージを英語に翻訳して運動に加わりました。

特筆すべきは、ロシアの脅威アクターの汚れた洗濯物が世界に見られた後、Contiは自らのレトリックを完全に逆転させ、ウェブサイト上で「戦争を非難する」と述べました。しかし、Contiの新しい声明は、機密データの漏洩を続けるウクライナの研究者を納得させていません。 

SOC Primeプラットフォーム は、あらゆるレベルの高度なサイバー攻撃のために、タイムリーな検出を作成する400人以上の著名なサイバーセキュリティ専門家が集まっています。当社の検出コンテンツは、25以上のSIEM、EDR、XDRプラットフォームに展開され、世界中の数千の有名組織によって使用されています。我々のコミュニティは、既知または新たに出現するエクスプロイトに対する防御策を構築することに参加したいInfoSec専門家を歓迎します。 SOC Primeのクラウドソーシング活動に参加することで、研究者やコンテンツ開発者は世界中から自らの検出結果を提出し、定期的な報酬を受け取ったり、サイバー領域での仲間からの認知を得ることができます。