ハイブリッド攻撃速報: Salt Typhoon - 通信事業者のサイバー攻撃における静かな嵐 > ハイブリッド攻撃速報

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

コンティ

Contiはランサムウェア・アズ・ア・サービス(RaaS)で、大規模でグローバルな組織や政府機関を標的としていることで知られている。

検知 コンチのTTP
あなたの組織はランサムウェア攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

コンティ・ランサムウェアの起源

Contiは、2019年にロシアを拠点とするWizard Spiderグループが最初に使用したmalware 。2018年8月から100以上の米国内外の企業を標的としたRyukランサムウェアの後継と考えられている。時間の経過とともに、Contiは多数のグループが攻撃を仕掛けるために使用する本格的なランサムウェア・アズ・ア・サービス(RaaS)モデルへと移行した。主に北米のグローバル企業や政府機関に対して使用され、機密ファイルを盗み出し、高収益の組織に数百万ドルの身代金を要求している。Conti Ransomware Groupは、小さなグループに分裂した後、最終的に2022年に閉鎖されましたが、その手法は現在も続いています。

出典:OCD & MITRE ATT&CK

コンティ・ランサムウェアの起源
ターゲット

コンティのターゲット

Contiランサムウェアの標的国

コンティはアイルランドからコスタリカまで数百人の被害者を狙った。しかし、最も成功した攻撃は北米で発生した。

情報源 Ransomware.live

Contiランサムウェアの標的となった業界

コンティ・ランサムウェアは、主に北米を中心とした企業や政府機関を標的に使用されている。

画像ソースソフォス

Contiランサムウェアの標的となった業界

コンティ・ランサムウェアは、主に北米を中心とした企業や政府機関を標的に使用されている。

画像ソースソフォス

コンティ・ランサムウェアの被害者

現在までに351人の被害者がContiランサムウェアの餌食となっている。有名な被害者には、アイルランドの保健サービス行政局(HSE)地方自治体、民間企業数社が含まれる。2021年のHSEの攻撃は医療サービスに広範な混乱を引き起こし、Contiが業務に大きな影響を与えることを物語っている。

ソース ランサムウェア.ライブ

攻撃方法

コンティ・ランサムウェアの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Contiは、次のようなさまざまなテクニックを使用します。 phishingContiは、電子メール、エクスプロイトキット、侵害されたウェブサイト、盗まれたリモートデスクトッププロトコル(RDP)の認証情報など、さまざまな手法を用いてランサムウェアを配信します。また、BazarLoader や TrickBot のようなボットネットを 使用してターゲットシステムに侵入します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

などのツールを使用する。 Cobalt StrikeContiのオペレータは、脆弱性を悪用し、名前付きパイプのなりすまし(GetSystem)などのテクニックを使ってSYSTEM権限を獲得する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

攻撃者は、グループポリシーの変更によってWindows Defenderを無効にし、悪意のある活動を隠すために難読化技術を使用します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

コンティは、MimikatzCobalt Strikeのようなツールを使って認証情報をダンプし、Kerberosチケットの窃盗(overpass-the-hash)を実行する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

脅威行為者は、nltestnet.exedsqueryなどのツールを使ってコマンドを実行し、ネットワーク環境をマッピングする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

横方向への移動は、SMBPsExecRDP接続を使用して行われ、多くの場合、最初の足場を経由してプロキシされる。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

malware 、機密ファイルやディレクトリをスキャンし、攻撃者のサーバーに流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアはCobalt Strike のようなツールを使ってメモリ内で実行され、ファイルを暗号化してシステムを使用不能にする。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは、Cobalt Strikeのビーコン機能または安全なチャネルを介したカスタムスクリプトを使用して流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

Contiは重要なファイルを暗号化し、身代金要求のメモを残す。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Contiは、次のようなさまざまなテクニックを使用します。 phishingContiは、電子メール、エクスプロイトキット、侵害されたウェブサイト、盗まれたリモートデスクトッププロトコル(RDP)の認証情報など、さまざまな手法を用いてランサムウェアを配信します。また、BazarLoader や TrickBot のようなボットネットを 使用してターゲットシステムに侵入します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

などのツールを使用する。 Cobalt StrikeContiのオペレータは、脆弱性を悪用し、名前付きパイプのなりすまし(GetSystem)などのテクニックを使ってSYSTEM権限を獲得する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

攻撃者は、グループポリシーの変更によってWindows Defenderを無効にし、悪意のある活動を隠すために難読化技術を使用します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

コンティは、MimikatzCobalt Strikeのようなツールを使って認証情報をダンプし、Kerberosチケットの窃盗(overpass-the-hash)を実行する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

脅威行為者は、nltestnet.exedsqueryなどのツールを使ってコマンドを実行し、ネットワーク環境をマッピングする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

横方向への移動は、SMBPsExecRDP接続を使用して行われ、多くの場合、最初の足場を経由してプロキシされる。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

malware 、機密ファイルやディレクトリをスキャンし、攻撃者のサーバーに流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

ランサムウェアはCobalt Strike のようなツールを使ってメモリ内で実行され、ファイルを暗号化してシステムを使用不能にする。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは、Cobalt Strikeのビーコン機能または安全なチャネルを介したカスタムスクリプトを使用して流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

Contiは重要なファイルを暗号化し、身代金要求のメモを残す。

MITRE ATT&CK マッピング

コンティ・ランサムウェアが使用するTTP

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使ったコンチのようなランサムウェアの脅威検知 方法

何千もの企業組織が、ランサムノートに襲われる前に攻撃を発見し、阻止するために、強力なAI主導 。

AWS Ransomware S3 Activity

RDP Recon

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

コンティ・ランサムウェアとは?

Contiランサムウェアは、2019年にサイバー攻撃シーンに登場したランサムウェア・アズ・ア・サービスの作戦である。データを暗号化し、他のシステムに拡散するスピードが速いため、非常に被害が大きいランサムウェアだ。

コンティ・ランサムウェアの背後には誰がいるのか?

Contiは、2019年に悪名高いロシアのランサムウェア集団Wizard Spiderによって開発され、その後、ランサムウェア・アズ・ア・サービス(RaaS)として多数の脅威アクターによって利用された。

Contiランサムウェアはどのように機能するのか?

Contiランサムウェアは、スピア攻撃(phishing)やRDP攻撃など、さまざまな方法で配信されます。標的のシステム内に侵入すると、データの暗号化と流出の両方を使用して二重の恐喝を行います。攻撃者は、復号化と盗まれたデータの公開を回避するための両方の支払いを要求することができます。

コンティ社のランサムウェア攻撃はどの業界を標的にしているのか?

Contiは、政府機関やヘルスケア、製造業などの大企業の重要なインフラやシステムを標的にしていることで知られている。

Contiランサムウェア攻撃の標的となる国は?

Contiランサムウェアの被害者の多くはカナダと米国にいるが、目立った攻撃は英国でも発生している。

コンティ・ランサムウェアの影響を受けた組織はどれくらいあるのか?

350以上の機関や組織がコンティ・ランサムウェアの餌食となり、合計で数億ドルの身代金を支払った。

Contiランサムウェア攻撃の影響とは?

Contiランサムウェアの被害者は、復号化キーを手に入れるだけでなく、盗まれた機密データの公開を避けるために数百万ドルを支払わなければならなかった。

検知 組織はどのようにしてコンティ・ランサムウェア攻撃を阻止することができるのか?

多要素認証や従業員のサイバーセキュリティトレーニングなどの予防策に加えて、組織はAI主導の検知によってランサムウェア攻撃を早期に発見し、阻止することができます。

Contiランサムウェアはどのように拡散するのか?

ContiのようなRaaS攻撃は、malware 、システムに侵入し、ファイルを盗み、ファイルサーバーを暗号化し、復号化キーと盗まれたデータの公開を防ぐための身代金の支払いを要求する。

コンティ・ランサムウェア攻撃を防ぐ最善の方法とは?

Contiのようなランサムウェアを防ぐ最善の方法は、AI主導 、攻撃を進行の初期段階でキャッチすることだ。

あなたの組織はランサムウェア攻撃から安全ですか?

攻撃の危険性を評価する