ランサムウェアグループConti(コンティ)のチャットログのキャッシュが、ロシアのウクライナ侵攻を支持するグループに異議を唱えると主張している内部関係者らによって、オンライン上に流出した。
情報は、マルウェアのサンプルやデータを収集するマルウェア研究グループであるVX-Undergroundに共有された。流出したデータセットには、Contiグループの母国語であるロシア語での数万件の内部チャットログを含む約400のファイルがある。このファイルには、2020年半ばにグループが初めて結成されてから約半年後の2021年1月までさかのぼる約1年分のメッセージが保存されている。
ランサムウェアの専門家は、グループの内部運営についてより詳しく知るために、すでにこのファイルに目を通している。セキュリティ研究者のBill Demirkapi(ビル・デミルカピ)氏はファイルを英語に翻訳した。
「ウクライナに栄光あれ」と、リーク者はメッセージで述べている。
Conti ransomware group previously put out a message siding with the Russian government.
Today a Conti member has begun leaking data with the message "Fuck the Russian government, Glory to Ukraine!"
You can download the leaked Conti data here: https://t.co/BDzHQU5mgw pic.twitter.com/AL7BXnihza
— vx-underground (@vxunderground) February 27, 2022
Contiはランサムウェア・アズ・ア・サービス(RaaS)グループで、関連機関はContiのインフラへのアクセスを借りて攻撃を仕掛けることができる。専門家によると、Contiはロシアを拠点としており、ロシアの諜報機関とつながりがある可能性があるという。
今週初めにContiは、ロイターが最初に報じ、TechCrunchも確認したブログ投稿の中で、ロシアの隣国ウクライナへの侵攻を「完全に支持している」と述べ、ロシアがサイバー攻撃や軍事攻撃を受けたら、重要インフラに報復すると宣言した。更新された投稿では、同グループはどの政府とも手を結んでいないと主張したが、改めてこう述べた。「平和な市民の幸福と安全がアメリカのサイバー攻撃のために危険にさらされる場合、反撃するために我々のリソースを使用する」。
Contiは、Fat Face(ファットフェイス)やShutterfly(シャッターフライ)など数十の企業、そして緊急通報センターや救急隊ネットワークなどの重要インフラを標的としたランサムウェア攻撃で非難されてきた。2021年5月には、Contiはアイルランドの医療サービスのネットワークを攻撃し、これによりアイルランドはITシステムの全国的な停止を余儀なくされ、国中で深刻な遅延が発生し、復旧するのに1億ドル(約115億円)超かかった。
クラウドソーシングによるランサムウェア追跡サイトのRansomwareによると、Contiはこれまでに3010万ドル(約34億円)超の身代金を回収した。
「今回の情報流出は、Contiにとって大きな痛手です。同社の関連会社やその他の関係者が、Contiのオペレーションに対する信頼をなくしただけではありません」と、Emsisoftのランサムウェア専門家で脅威アナリストのBrett Callow(ブレット・カロウ)氏は述べた。「彼らは間違いなく、作戦がいつ危険にさらされたのか、法執行機関は関与しているのか、そして自分たちにつながる手がかりがあるのか、と考えていることでしょう」。
「多くのRaaSオペレーションは、ロシアに拠点を置くものを含め、ウクライナとつながりがあります。従って、作戦の内部を知る人物を怒らせる危険があるため、作戦を公にするのは戦術的には失敗です」とカロウ氏は話す。
Contiのファイルの流出は、ロシアの侵攻に対応してロシアのサイト、サービス、インフラを標的としたウクライナの「IT軍」の結成など、ハクティビストとセキュリティ同盟による幅広い取り組みの一部だ。
関連記事:ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ
画像クレジット:NurPhoto / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Nariko Mizoguchi)