ランサムウェアContiメンバーの写真が公開される 情報提供に最大1000万ドル―米国務省報酬プログラム

 米国務省がランサムウェアContiを運営しているグループの人物とみられる写真を公開して情報の提供を求めています。有効な情報には最大1000万ドルの報奨金が支払われるようです。

TrickBot、Ryukを開発した犯罪グループ

 Contiは2020年に登場したランサムウェアで、犯罪ビジネスであるRaaSとして展開されているランサムウェアです。パロアルトネットワークスのUnit42によると、Contiはランサムウェアの中でも残酷さが際立っており、人命にかかわる病院や救急医療サービスなどのシステムを平然とターゲットとし、身代金の支払いをしても暗号化されたデータは復旧されないケースが多いようです。アイルランドでは昨年、公的な医療システムが攻撃を受け、病院が外来患者の予約をキャンセルせざるを得なくなる事態に至りました。

 ContiはWizard Spiderと呼ばれる犯罪グループによって運営されてきたとみられており、クラウドストライクによると、Wizard Spiderはロシアを拠点とするサイバー犯罪グループで、TrickBotの作成、運用でその存在が知られるようになったということです。2016年に金融詐欺を目的にTrickBotを導入し、その後、Ryuk、Conti、BazarLoaderなどを開発して運用しているということです。BleepingComputerの報道などによると、今年2月のロシアによるウクライナへの侵攻に関し、Contiの運用者がロシアを全面的に支持することを表明しロシアにサイバー攻撃をした場合、反撃することを宣言したということです。その後、ウクライナのサイバーセキュリティ研究者によりContiのランサムウェア攻撃に関する6万件以上の内部メッセージが暴露されることとなり、こうした事態を受けてなのか不明ですが、今年4月にContiは閉鎖され、関連インフラもオフラインになったということです。

最近はBazarCallフィッシングを展開か

 しかし、一方でContiを運営していたグループからいくつかの新しいグループが生まれ、現在これらのグループによってBazarCallフィッシングが展開されているようです。BazarCallフィッシングはコールバックフィッシングとも呼ばれ、その手法は、偽装したコールセンターの連絡先が記載されたメールを送付し、メールの受信者がメールに記載されている偽のコールセンターの番号に電話をすると偽のサイトに誘導され、BazarLoaderに感染させるという手法のようです。コンピューターに感染したBazarLoderを介してバックドアがつくられて、ランサムウェアなどのマルウェアが投下されます。

 Contiは今年4月に閉鎖されたものの、Contiを運営していたグループは姿、形を変えつつ依然としてさまざまなサイバー犯罪を展開していることは間違いありません。アメリカ国務省の対テロ報酬プログラムであるRFJは、アメリカの重要インフラに対する悪意あるサイバー活動に参加した人物の身元または場所の特定につながる情報対して最大1000万ドルの報奨金を提供するとしていて、Contiランサムウェアにかかるメンバーとして、ネット上で「Target」「Reshaev」「Professor」「Tramp」「Dandis」と名乗って活動している5人の人物についてポスターを作成して情報提供を求めています。

メンバーの写真が公開されたのは初めて

RFJが公開したContiの
メンバーと見られる男

 ポスターには、「Target」と名乗る人物の写真が掲載されており、またポスターとは別にRFJはこの人物の全体を写した写真も公開しています。この人物は中年とみられる男性で耳当てのついた帽子を被り、黒いTシャツの上に黒いジャケットを羽織った姿で写真に写っています。報道によるとContiに関係する人物の写真が公開されたのは初めてだということです。RFJは「Contiはロシア政府とつながりのあるサービスとしてのランサムウェア (RaaS) グループであり、米国および西側の重要なインフラストラクチャを標的にしています。2022 年 2 月にロシア軍がウクライナに侵攻した後、Conti ランサムウェアオペレーターはロシア政府への支援を約束し、ロシア政府に対しサイバー攻撃を行っていると見なした国の重要インフラストラクチャ組織を脅迫しました」とし、RFJに情報を提供するように呼びかけています。

■出典

https://rewardsforjustice.net/rewards/conti/

https://unit42.paloaltonetworks.jp/conti-ransomware-gang/

https://www.theregister.com/2021/05/14/ireland_hse_ransomware_hospital_conti_wizardspider/

https://www.crowdstrike.com/blog/wizard-spider-adversary-update/

https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/

https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/

https://unit42.paloaltonetworks.jp/bazarloader-malware/

 

 

最新情報をチェックしよう!