What Is Conti Ransomware?

Conti マルウェアは、Windows プラットフォームのシステムを攻撃し、不正なデータを見つけてアクセスしたり、機密情報を盗んだり、ファイルを暗号化することでファイルへのアクセスをブロックしたりすることができるセカンドステージのランサムウェアです。Contiは、世界的なサイバー脅威の中で最も多発しているマルウェアの1つです。

Who Is the Conti Group?

Conti Groupは、ロシアの支援を受けたランサムウェア・アズ・ア・サービス（RaaS）組織であり、Contiマルウェアを維持する一方で、提携するサイバー犯罪グループを通じて業務のアウトソーシングを図っている。Contiの内部構造は、リークされた文書から分析されており、人事部、研究開発部、OSINT、さらにはカスタマーサポート部門を含む硬直した企業のような構造を示している。脅威リサーチャーは、Conti指導部のダークウェブ・ハンドルのメンバーを特定したものの、Contiのメンバーの名前は特定されていない。

ARMattackとは、2021年後半に行われたConti攻撃キャンペーンのことで、Contiランサムウェアが短期間に40以上の組織を侵害した。

コンティ・ランサムウェアとは？

Contiランサムウェアは、世界のサイバー脅威の中で最も多発しているマルウェアの1つです。Contiは、2020年以降、身代金として1億5000万ドル以上を組織に負担させ、世界中で1000社以上の企業に影響を及ぼしています。

ContiはWizard Spiderグループに起因する第2段階のマルウェアです。多発するRyukランサムウェアの後継と考えられている。第一段階のマルウェアが初期アクセスの獲得を目的としているのに対し、第二段階のマルウェアは被害者のシステム上でコマンド・アンド・コントロール（C2）を確立し、ネットワークに関する情報を収集し、貴重なデータの窃取や暗号化といった主要な戦略目標を達成します。

つまり、被害者は、暗号化されたファイルへのアクセスを取り戻すためと、盗まれたデータが一般に公開されるのを防ぐために、身代金を2度支払うよう強要されるのだ。

Contiはまた、Ransomware-as-a-Service（RaaS）攻撃モデルも使用している。RaaSは、アフィリエイトが組織のインフラ上に第一段階のマルウェアを展開することに成功した場合に報酬を得ることを可能にし、第二段階の搾取と強要のために主要な脅威行為者がターゲットネットワークに即座にアクセスできるようにします。

コンティ最新ニュース

Cerber ランサムウェアの運営者、アトラシアンの最新バグを悪用（bankinfosecurity.com）
当社英国、TrickBotとContiのサイバー犯罪組織メンバー11人を制裁(BleepingComputer)
コンティの遺産ランサムウェアの最重要指名手配犯はどうなった？(BankInfoSecurity）
LockBitの新種がmacOSを標的に、もう1つはContiのソースコードに依存(SC Media)

コンティ・ランサムウェアの仕組み

被害者のデータの流出と暗号化の両方を行い、二重の恐喝戦術を可能にする。
多くの場合、ランサムウェア・アズ・ア・サービス（RaaS）モデルの攻撃で展開されます。
プロセスのマルチスレッド化により、ファイルの拡散と暗号化を高速に行う。

Contiは、フィッシング、スピアフィッシング、ビッシング攻撃、リモートデスクトップ（RDP）認証情報の窃取、またはトロイの木馬化されたアプリケーションを使用して、最初のリモートアクセスを獲得するために配信される可能性があります。Contiは主にWindowsプラットフォーム・システムを狙いますが、Contiマルウェアのツールキットに関する最近の調査では、Linuxの悪用も発見されています。

初期アクセス後、マルウェアはContiのコマンド＆コントロール（C2）サーバに接続し、第2段階のConti C2クライアントとファイル暗号化ツールをダウンロードします。Contiの第2段階のC2マルウェアは、Cobalt Strike beacon、PowerSploit、AdFindなどの侵入テストソフトウェアツールの長いリストを使用し、リモートで実行し、ネットワークを通じて拡散し、価値の高い標的を侵害します。Contiはまた、サーバー・メッセージ・ブロック（SMB）を介してネットワーク内に拡散することができ、同じネットワーク・ドメイン内の他のエンドポイント上のデータを暗号化するための戦略としてSMBエクスプロイトを使用します。

他のランサムウェアと同様に、Contiは検知した既存のセキュリティ製品を無効にしようとし、マルウェア解析に使用されるサンドボックス環境かどうかを判断するために環境をスキャンすることで、悪意のあるペイロードの内容を保護しようとします。攻撃者が価値の高い標的を特定し、侵害すると、Contiは貴重な企業データを攻撃者が管理するサーバーに流出させ、マルチスレッド暗号化を使用してファイルを迅速に暗号化します。

コンチの攻撃はどのようなものか

Contiの攻撃は、短期間に複数の組織に侵入するブリッツ攻撃で展開されることが多い。ARMattack（"armada "の略）と呼ばれる最近の電撃的な例では、Contiが約1ヶ月の間に40社以上をハッキングしました。電撃攻撃は、サイバーセキュリティ・コミュニティが防御策を開発・共有するのに十分な時間がないうちに、斬新で高度なマルウェア・テクニックの有用性を最大限に引き出す。

攻撃の観点からは、Contiは通常、個人文書、画像、動画（docx、xlsx、pdf、mp4ファイル）、およびバックアップファイルを標的とします。暗号化プロセスでは、ファイルはAES-256暗号化キーで暗号化され、次にRSA-4096公開暗号化キーで暗号化され、contiまたはCONTI拡張子が付加されます。このマルウェアはまた、身代金要求メッセージと、攻撃者に連絡して支払いを行う方法に関する指示を含むテキストファイルを各フォルダ内に作成します。

コンティ・ランサムウェアから身を守るには

Contiランサムウェアの攻撃を効果的に防ぐ防御戦術は、以下のような他のマルウェアを防ぐために使用される戦術と似ている：

フィッシング型攻撃によるセキュリティインシデントを減らすためのユーザー意識向上トレーニングの活用
マルウェアによる機密リソースへのアクセスを防止するため、強固な認証アーキテクチャとセキュリティを開発する。
高度なエンドポイント検出・対応製品を導入し、侵害が発生した場合にシステムのタイムリーな特定と修復を可能にする。

CylanceOPTICS コンチを防ぐ

CylanceOPTICS^®は、根本原因分析、スマートな脅威ハンティング、自動化された検出と対応機能により、セキュリティインシデントを防止するために、人工知能（AI）を使用してデバイス上での脅威検出と修復を提供します。当社のEDR（Endpoint Detection and Response）アプローチは、レスポンスの遅延を効果的に解消します。これは、軽微なセキュリティ・インシデントと、制御不能な広範なイベントとの違いとなります。

さらに詳しく