2021年8月5日、ランサムウェアギャング「Conti」のプレイブックとトレーニング資料が、憤慨したContiのアフィリエイターによって、ロシア語圏の人気ハッキングフォーラムサイトに流出しました。Contiランサムウェアギャングは、ランサムウェア・アズ・ア・サービス(RaaS)として運営しているため、ランサムウェア攻撃を実行するためのトレーニングを行うアフィリエイトを募集しています。この運営モデルでは、コアチームのメンバーがランサム代金の約20~30%を稼ぎ、残りをアフィリエイターが稼ぐことになります。
このアフィリエイターは、Cobalt Strike C2サーバーのIPアドレスや、ランサムウェア攻撃を行うための多数のツールやトレーニング資料を含む113MBのアーカイブなど、ランサムウェアの運用に関する情報を公開しました。彼/彼女は、他のチームが数百万ドルを稼ぎ、被害者が身代金を支払った後に多額の支払いを約束しているのに対し、攻撃の一部としてわずか1,500ドルしか支払われないことに憤慨していました。
「私はCobaltサーバーのIPアドレスとトレーニング資料を統合しますよ。1500ドル、はい、もちろん、彼らはカモを募集し、自分たちの間でお金を分割し、カモである私たちは被害者が支払うときに私たちが知ること(報酬額)にうんざりしていますから。」
サイバーセキュリティ研究者は、Cobalt Strikeの展開マニュアル、NTLMハッシュをダンプするMimikatz、その他様々なコマンドが詰まった多数のテキストファイルが入ったアーカイブをすでに分析しました。彼らは、現在および過去のContiランサムウェアのインシデントに基づいて、流出した情報がContiの現在のオペレーションと一致していることを確認しており、Contiランサムウェアの攻撃に対抗するための非常に有用なリソースであるとしています。
© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。