Contiは、ランサムウェア分野の比較的新しい参入者です。2020年5月に初めて出現してから、ランサムウェア操作者(通称Conti Gang)は、150件を超える攻撃を成功させ、数百万ドルを強請り取っていると公言しています。

この1年間に発生している他のランサムウェアと同様に、Conti Gangも増加傾向にある「二重の脅迫」を利用しています。彼らは、被害者から機密ファイルや機密情報を盗み、それを利用して、身代金を支払わなければデータを公開すると脅迫します。

主な調査結果

  • 新たな脅威:Contiランサムウェアは短期間に多くの被害をもたらし、世界中のニュースヘッドラインを賑わせました。
  • 重大度が高い:サイバーリーズンのNocturnusチームでは、その攻撃の破壊力から、Contiの脅威レベルを「高」と評価しています。
  • ゆっくりと潜行:攻撃者は、ランサムウェアを展開させる前に、組織内に潜入して横方向に移動してから、本格的なハッキングを実行します。
  • 急速な開発サイクル:わずか数カ月の間に、Conti Gangは3バージョンのランサムウェアをリリースし、それぞれのバージョンでマルウェアを改良しました。
  • Ryukの後継者:Conti GangはTrickBot Gangと連携し、後者は現在、ランサムウェアとしてContiを使用しています。
    ネットワーク全体に拡散:Contiは、感染したマシンにダメージを与えるだけでは満足しません。SMBを介してネットワーク内に拡散し、リモートマシン上のファイルも暗号化します。
  • 検知と防御:Cybereason Defense Platformは、Contiランサムウェアを完全に検知して防御します。

Egregor(Egregor News)やMaze(Maze News)などのランサムウェアと同様に、Conti Gangも独自のWebサイト「Conti News」を持ち、そこに犠牲者のリストを格納し、盗んだデータの公開もそこで行います。


▲「Conti News」のWebサイト

Contiは非常に破壊力のある脅威です。Contiは情報と信頼を危険にさらす「二重の脅迫」に加え、拡散機能も備えています。

つまり、Contiは感染したホスト上のファイルを暗号化するだけでなく、SMBを介して拡散し、他のホスト上のファイルも暗号化するため、ネットワーク全体のセキュリティが侵害される可能性があります。迅速な暗号化ルーティンは、マルチスレッド処理を使用することから数分で終了するため、暗号化ルーティンが一度開始されると止めることは極めて困難です。

注目を集めることになったもう1つの大きな要因は、ContiがTrickBot Gangと連携していることです。Contiは、アンダーグラウンドフォーラムでRaaS(サービスとしてのランサムウェア)として特定のバイヤーやTrickBot Gangなどのパートナーに売られています。

TrickBot GangはRyukに代わってContiを新しいランサムウェアとして採用しています。

高度な機能とTrickBot Gangとの連携に加え、Advantechのような大手企業から138万ドルを脅し取ったり、こちらの記事のリストに載っている北米を基盤にした大手企業を攻撃するなど、Contiの攻撃が増加していることで、今年、Contiがニュースで取り上げられるようになりました。Contiは、急速な開発サイクルでマルウェアを常に最新で高度な機能を装備した状態に維持していることや、TrickBot Gangによって広められていることから、Ryukの後継者と見られています。

攻撃の流れ

BAZARバックドアからランサムウェアへ

TrickBot Gangは、悪名高いTrickBotマルウェアを使用して対話型ハッキングを開始し、RyukやAnchorなどのセカンダリペイロードを配備することで知られていました。このグループは、今年の初めにBazarバックドアを使用して対話型攻撃を開始し、Ryukを配備するように方向転換し、2020年7月以降は新たにContiがお気に入りのランサムウェアになっています。

時間と共にTrickBot Gangのペイロードとツールは変化してきましたが、Bazarローダーおよびバックドアの初期感染ベクトルには変化がありませんでした。つまり、Googleドライブへのリンクを含むフィッシングメールで、そこにペイロードが格納されています。


▲Conti 攻撃の図 – Bazarからランサムウェアまで

急速な開発サイクル

2020年7月に初めてContiが検知されてから、3種類のバージョンが確認されています。新しいバージョンごとに、Conti Gangは機能を追加して、ランサムウェアをより危険で破壊的にしています。次の表は、バージョンごとの変化をまとめています。

  バージョン1 バージョン2 バージョン3
初期から最古の作成時期(VTベース) 2020/05/29
2020/08/18
2020/10/09
2020/10/21
2020/11/06
2020/12/0
ランサムノートファイル名 Conti_readme.txt
CONTI.txt
R3adm3.txt
readme.txt
readme.txt
拡張子  .CONTI サンプルごとに変化 サンプルごとに変化
ミューテックス _CONTI_ lslaif8aisuuugnzxbvmdjk Kjkbmusop9iqkamvcrewuyy777
ojkxjfsu81209088812
埋め込まれた電子メール/URL flapalinta1950@protonmail.com
xersami@protonmail.com
Ksarepont@protonmail.com
cokeremie@protonmail.com
hawhunrocu1982@protonmail.com
consfronepun1983@protonmail.com
viegesobou1977@protonmail.com
hardsandspikab1971@protonmail.com
stargoacompte1970@protonmail.com
muddkarhersmo1973@protonmail.com
versmohubfast1972@protonmail.com
ceslingvafi1973@protonmail.com
Andrea.Davis.1989@protonmail.com
forrestdane79@protonmail.com
http://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid[.]onion

https://contirecovery[.]info

http://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid[.]onion

https://contirecovery[.]info
https://contirecovery[.]best

heibeaufranin1971@protonmail.com
polzarutu1982@protonmail.com
niggchiphoter1974@protonmail.com

形式 独立実行可能ファイル 独立実行可能ファイル
ローダー + DLL
独立実行可能ファイル
ローダー + DLL
SMBによる拡散 コマンドライン引数で指示されていた場合、SMBで拡散 コマンドライン引数がない場合でも、SMBで拡散 コマンドライン引数がない場合でも、SMBで拡散
特異性 Webサイトを使用せず、電子メールのみ アイコンの使用を観察:


PDB:
A:\source\conti_v3\Release\cryptor.pdb

アイコンの使用を観察:

ランサムノート
CONTIランサムウェアの実行

このセクションでは、バージョン2とバージョン3を取り上げます。上記の表で述べたように、バージョン3には2つの形式があります。1つは独立実行可能ファイルで、もう1つはリソースセクションからDLLをロードして実行するローダーです。スタティック/ダイナミック分析を行う前でも、VirusTotalを使用して、リソースセクションにより多くのデータが含まれている可能性が高いと判断できます。この場合、メモリに暗号化されたDLLがロードされています。


▲VirusTotalファイルのセクション情報のスクリーンショット

リソースと対話するためのAPIは、GetProcAddressを使用して動的に解決されます。


▲動的に解決されたAPがリソースと対話するために使用される

次に、ローダーはハードコードされたキーを使用してペイロードを解読し、それをメモリにロードします。


▲Contiペイロードの解読キー

DLLがロードされると、Contiは暗号化と拡散のルーティンを開始します。ランサムウェアはネットワークでSMB(ポート445)をスキャンします。アクセスが可能な共有フォルダーを見つけると、リモートマシン上のファイルも暗号化しようとします。


▲SMBで拡散しているContiのWireshark pcap

Contiは、マルチスレッド技術を使用してすべてのファイルを高速で暗号化します。このルーティンには、マシン上のファイル数によって、数秒から数分かかります。

マルウェアが暗号化したファイルに付加する拡張子はサンプルごとに固有です。Cybereasonを「防止(Prevention)」モードをオフにして使用し、ランサムウェアの実行を調査している間に、暗号化アクティビティや新しいファイルの作成を確認できます。


▲Cybereason Defense Platformの 「File Events(ファイルイベント)」機能が示すファイルの暗号化

ファイルが暗号化されると、マルウェアは各フォルダーにランサムノートを残し、確実に被害者の目にとまるようにします。Conti Gangは、通常、被害者の身代金支払いに期限を設定し、期限までに支払われない場合、独自のWebサイト「Conti News」で被害者のデータを公開します。

CYBEREASONの検知と防御

Cybereason Defense Platformは、脅威インテリジェンス、機械学習、次世代(NGAV)機能でマルウェアを検知してブロックする多層防御を使用して、Contiランサムウェアの実行を阻止できます。さらに、アンチランサムウェア機能を有効にすると、プラットフォームの振る舞い検知技術で、ファイルの暗号化やそのためのMalopTM生成のあらゆる試みを検出し、防御できます。


▲悪意のあるアクティビティによってトリガされたランサムウェアMalop

適切な構成(次の推奨事項を参照)でアンチマルウェア機能を使用すると、Cybereason Defense Platformはランサムウェアの実行も検知して防御し、ターゲットのファイルを暗号化できないようにします。この防御は機械学習に基づいて行われ、既知と未知の両方のハッシュを防御します。


▲アンチマルウェアアラート – Contiランサムウェアを防御


▲エンドポイントでランサムウェアの実行をブロックしたことを知らせるユーザー通知

セキュリティ上の推奨事項

  • Cybereason NGAVでアンチランサムウェア機能を有効にすること:Cybereasonのアンチランサムウェアモードを「防止(Prevent )」に設定する
  • Cybereason NGAVでアンチマルウェア機能を有効にすること:Cybereasonのアンチマルウェアモードを「防止(Prevent)」に設定し、検知モードを「中(Moderate)」以上に設定する
  • システムにすべてのパッチを適用しておくこと:脆弱性を軽減するために、システムにパッチが適用されていることを確認する
  • 定期的にリモートサーバーにファイルをバックアップすること:バックアップからファイルを復元するのが、データへのアクセスを回復するための最速の方法
  • セキュリティソリューションを使用する:組織的なファイアウォール、プロキシ、Webフィルタリング、メールフィルタリングを使用して環境を保護する

MITRE ATT&CKによる分類

初期アクセス
フィッシング

水平展開
共有コンテンツの汚染

防衛回避
ファイルや情報の難読化解除/デコード
偽装
レジストリの変更
難読化されたファイルや情報

探索
アカウントの探索
アプリケーションウィンドウの探索
ファイルとディレクトリの探索
プロセスの探索
システム情報の探索

コマンド&コントロール
一般的に利用されるポート
リモートファイルコピー
標準アプリケーション層プロトコル
標準暗号化プロトコル
標準非アプリケーション層プロトコル

影響
影響を与えるためのデータ暗号化

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」