CONTI ランサムウェア

ransomware-2320941_1920

はじめに

Contiと言うランサムウェアは、最初の出現が2020年で、フィッシングメールにGoogle Driveへのリンクが貼ってあり、そこに最初のペイロードが保存されている形で配布されていました。
Contiランサムウェアは現在、2番目に最もよく見られるアクティブなランサムウェアファミリーで、多くの国の中規模から大規模な組織を標的にしていると記録されています。
Contiランサムウェアのアクティブな亜種・変異型に対する復元プログラムはなく、平均身代金要求額は891,566ドルで、ランサムウェアのノートの中のウェブサイトのアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターは、最初のペイロードを保存してあるGoogle Driveへのリンクを貼ったフィッシングメールを使います。攻撃目標人物が悪意のあるファイルを開けるとすぐに、そのファイルの中の悪意のあるスクリプトがBazarLoader、バックドアもしくはIcedID、バンキング型トロイの木馬をダウンロードしようとします。こうしたマルウェアを使えば、脅威アクターは、別途ダウンロードしたCobalt StrikeやMeterpreterも並行して使いつつ、水平移動や権限昇格を行うことができます。脅威アクターは、フィッシングの代わりに初期アクセスを得るために、FortiGateファイヤウォールエクスプロイトのようなソフトウェアおよびハードウェアの脆弱性を使っていたことも観察されています。

2. インストール

ネットワークもしくはアクティブディレクトリのかなりの部分がBazarLoaderもしくはIcedIDに感染したら、Contiローダがダウンロードされ、ハードコードされたキーを使ってペイロードを復号します。復号されたペイロードは次に、プロセスハロウイング(process hollowing)と言うテクニックを実行してメモリーへロードされます。そこでContiは新しいプロセスを保留状態で作成し、保有プロセスの実行が再開する前に悪意のあるコードをそのプロセスの中に書き込みます。Contiはまた、感染したシステム上にシャドウボリュームコピーがあれば削除し、被害者が暗号化したファイルを復元できないことを確実にします。

3. 暗号化

DLLがロードされるとすぐに、Contiは暗号化を開始し、ネットワーク内で水平移動を続け、攻撃目標となるようなマシンをさらに見つけて行きます。ContiはまたSMBポート445番を使ってネットワークをスキャンし、アクセスできる共有フォルダがないか探し、フォルダ内のファイルを暗号化します。Contiは各ファイルをAES-256鍵で暗号化し、次にバンドル化されたRSA-4096公開鍵、これは被害者ごとに一意の鍵ですが、これを使って再度暗号化します。Contiはファイルを暗号化するとき、32の同時CPUスレッドを使った高速マルチスレッディングのテクニックを使っており、これはつまり暗号化が短時間でできるということで、被害者が攻撃されていることに気づくまでほとんど時間がないことを示しています。