※本記事はDeep Instinct Ltd.「2023年 脅威情勢レポート 特別編:Conti ランサムウェアグループ」の内容を一部抜粋し考察しています。
ランサムグループ:Conti とは
Conti は、「TrickBot グループ」 ( 別名 ITG23、WizardSpider、FIN12、GOLD BLACKBURN、DEV-0193) の「大物を狙った」手法の発展形として登場したと考えられています。Conti は、現代の最も悪名高いランサムウェアグループの 1 つであり、多くの攻撃で有名になり収益を得ていると推測されます。
Contiからの情報漏洩
ランサムウェア グループにおける最大の漏洩事案によって、Conti 脅威グループの詳細が明らかになりました。
企業のように人事、財務、リバース エンジニアリング、研究、および OSINT の各チームが存在していたことが明らかになっています。
Contiの衰退と分派の活動
活動を拡張して大規模に組織化した後、リブランディング、組織変更、そして最終的に再構築、米国務省の働きもあって組織は小規模なグループに分裂しました。
Conti の分派は、現在、次の大きな脅威を探しています。これらの分派が成功を収めれば、新たに結成される脅威グループも成長するでしょう。ランサムウェア攻撃は依然として非常に収益性が高く、組織にとって深刻な脅威となっているため、攻撃者はビジネスを拡大し続けるために大規模なインフラストラクチャを構築し続けることが予想されます。脅威グループは、Conti で見られたように今後も連携し、さまざまな手法を利用して侵入地点を拡大し、アフィリエイトから得られる利益は増え続けるでしょう。
Contの情報漏洩から判明した攻撃手法
Contの情報漏洩から判明した攻撃手法を解析し、Deep Instinctでどのように防御できるかを図示したのがこちらの図です。
Deep Instinct は、いくつものプロセスで脅威を静的解析と動的解析の多重防御により組織の環境内に侵入する前に脅威を予防することがわかりますね。
どこのプロセスをどの対策で防御できるのかわかりやすい例だと思います。
自組織のマルウェア対策ソフトで対応できるでしょうか。
一度確認してみることお勧めします。
まとめ
Ransomware as a Service(RaaS)の普及によりランサムウェアを実行する敷居が下がっていると感じます。
それにより、ツールの売買、人員の確保でランサムウェアグループが組織化していることもContの件で理解していただけたのではないかと思います。
ランサムウェア組織の統制が利かなくなり内部の情報漏洩が発生した際は、防御する側もその情報をうまく活用していきたいですよね。
ランサムウェア組織の解体によって分派が発生し、RaaSがある限りビジネスとして成り立ってしまっているので、今後も脅威は決してなくならないと思います。
より高度化、高速化していく脅威に対して自分の組織をその脅威から守るために日頃から情報収集はして対策を検討していきましょう!
本レポート全文見たい方はお気軽に連絡ください。
出典:Deep Instinct Ltd. 「2023年 脅威情勢レポート 特別編:Conti ランサムウェアグループ」
Deep Instinctの導入はtakamariにお任せください
Deep Instinct SALES CERTIFICATION
Deep Instinct SALES ENGINEER CERTIFICATION
Deep Instinct CERTIFIED ENGINEER
Deep Instinct は、既知および未知のマルウェアが実行されたとしても、脅威を多重防御により組織の環境内に侵入する前にマルウェアを予防します。脅威が何らかの理由で Deep Instinct の静的予防層(静的解析)を回避した場合、攻撃を阻止する動的解析層(振る舞い分析)が多数用意されています。これを可能にしているのが、ディープラーニング(深層学習)というコア AI 技術です。
takamariでは「Deep Instinct Certified Engineer」を始めとする各種Deep Instinct認定を取得しています。運用ノウハウもありますので、製品のデモンストレーションや導入の相談・支援などお任せください。1台当たり300円/月と費用対応効果が高いEPPです。札幌を中心とした北海道で活動していますので、ご相談ください。