コンティ・ランサムウェアの起源
Contiは、2019年にロシアを拠点とするWizard Spiderグループが最初に使用したmalware 。2018年8月から100以上の米国内外の企業を標的としたRyukランサムウェアの後継と考えられている。時間の経過とともに、Contiは多数のグループが攻撃を仕掛けるために使用する本格的なランサムウェア・アズ・ア・サービス(RaaS)モデルへと移行した。主に北米のグローバル企業や政府機関に対して使用され、機密ファイルを盗み出し、高収益の組織に数百万ドルの身代金を要求している。Conti Ransomware Groupは、小さなグループに分裂した後、最終的に2022年に閉鎖されましたが、その手法は現在も続いています。
出典:OCD & MITRE ATT&CK
Contiランサムウェアの標的国
コンティはアイルランドからコスタリカまで数百人の被害者を狙った。しかし、最も成功した攻撃は北米で発生した。
情報源 Ransomware.live
Contiランサムウェアの標的となった業界
コンティ・ランサムウェアは、主に北米を中心とした企業や政府機関を標的に使用されている。
画像ソースソフォス
コンティ・ランサムウェアの被害者
現在までに351人の被害者がContiランサムウェアの餌食となっている。有名な被害者には、アイルランドの保健サービス行政局(HSE)、地方自治体、民間企業数社が含まれる。2021年のHSEの攻撃は医療サービスに広範な混乱を引き起こし、Contiが業務に大きな影響を与えることを物語っている。
ソース ランサムウェア.ライブ
コンティ・ランサムウェアの攻撃方法
Contiは、次のようなさまざまなテクニックを使用します。 phishingContiは、電子メール、エクスプロイトキット、侵害されたウェブサイト、盗まれたリモートデスクトッププロトコル(RDP)の認証情報など、さまざまな手法を用いてランサムウェアを配信します。また、BazarLoader や TrickBot のようなボットネットを 使用してターゲットシステムに侵入します。
などのツールを使用する。 Cobalt StrikeContiのオペレータは、脆弱性を悪用し、名前付きパイプのなりすまし(GetSystem)などのテクニックを使ってSYSTEM権限を獲得する。
攻撃者は、グループポリシーの変更によってWindows Defenderを無効にし、悪意のある活動を隠すために難読化技術を使用します。
コンティは、Mimikatzや Cobalt Strikeのようなツールを使って認証情報をダンプし、Kerberosチケットの窃盗(overpass-the-hash)を実行する。
脅威アクターは、nltest、net.exe、dsqueryなどのツールを使ってコマンドを実行し、ネットワーク環境をマッピングする。
横方向への移動は、SMB、PsExec、RDP接続を使用して行われ、多くの場合、最初の足場を経由してプロキシされる。
malware 、機密ファイルやディレクトリをスキャンし、攻撃者のサーバーに流出させる。
ランサムウェアはCobalt Strike のようなツールを使ってメモリ内で実行され、ファイルを暗号化してシステムを使用不能にする。
データは、Cobalt Strikeのビーコン機能または安全なチャネルを介したカスタムスクリプトを使用して流出する。
Contiは重要なファイルを暗号化し、身代金要求のメモを残す。
Contiは、次のようなさまざまなテクニックを使用します。 phishingContiは、電子メール、エクスプロイトキット、侵害されたウェブサイト、盗まれたリモートデスクトッププロトコル(RDP)の認証情報など、さまざまな手法を用いてランサムウェアを配信します。また、BazarLoader や TrickBot のようなボットネットを 使用してターゲットシステムに侵入します。
などのツールを使用する。 Cobalt StrikeContiのオペレータは、脆弱性を悪用し、名前付きパイプのなりすまし(GetSystem)などのテクニックを使ってSYSTEM権限を獲得する。
攻撃者は、グループポリシーの変更によってWindows Defenderを無効にし、悪意のある活動を隠すために難読化技術を使用します。
コンティは、Mimikatzや Cobalt Strikeのようなツールを使って認証情報をダンプし、Kerberosチケットの窃盗(overpass-the-hash)を実行する。
脅威アクターは、nltest、net.exe、dsqueryなどのツールを使ってコマンドを実行し、ネットワーク環境をマッピングする。
横方向への移動は、SMB、PsExec、RDP接続を使用して行われ、多くの場合、最初の足場を経由してプロキシされる。
malware 、機密ファイルやディレクトリをスキャンし、攻撃者のサーバーに流出させる。
ランサムウェアはCobalt Strike のようなツールを使ってメモリ内で実行され、ファイルを暗号化してシステムを使用不能にする。
データは、Cobalt Strikeのビーコン機能または安全なチャネルを介したカスタムスクリプトを使用して流出する。
Contiは重要なファイルを暗号化し、身代金要求のメモを残す。
コンティ・ランサムウェアが使用するTTP
Vectra AIを使ったコンチのようなランサムウェアの脅威検知 方法
何千もの企業組織が、ランサムノートに襲われる前に攻撃を発見し、阻止するために、強力なAI主導 。
よくあるご質問(FAQ)
コンティ・ランサムウェアとは?
Contiランサムウェアは、2019年にサイバー攻撃シーンに登場したランサムウェア・アズ・ア・サービスの作戦である。データを暗号化し、他のシステムに拡散するスピードが速いため、非常に被害が大きいランサムウェアだ。
コンティ・ランサムウェアの背後には誰がいるのか?
Contiは、2019年に悪名高いロシアのランサムウェア集団Wizard Spiderによって開発され、その後、ランサムウェア・アズ・ア・サービス(RaaS)として多数の脅威アクターによって利用された。
Contiランサムウェアはどのように機能するのか?
Contiランサムウェアは、スピア攻撃(phishing)やRDP攻撃など、さまざまな方法で配信されます。標的のシステム内に侵入すると、データの暗号化と流出の両方を使用して二重の恐喝を行います。攻撃者は、復号化と盗まれたデータの公開を回避するための両方の支払いを要求することができます。
コンティ社のランサムウェア攻撃はどの業界を標的にしているのか?
Contiは、政府機関やヘルスケア、製造業などの大企業の重要なインフラやシステムを標的にしていることで知られている。
Contiランサムウェア攻撃の標的となる国は?
Contiランサムウェアの被害者の多くはカナダと米国にいるが、目立った攻撃は英国でも発生している。
コンティ・ランサムウェアの影響を受けた組織はどれくらいあるのか?
350以上の機関や組織がコンティ・ランサムウェアの餌食となり、合計で数億ドルの身代金を支払った。
Contiランサムウェア攻撃の影響とは?
Contiランサムウェアの被害者は、復号化キーを手に入れるだけでなく、盗まれた機密データの公開を避けるために数百万ドルを支払わなければならなかった。
検知 組織はどのようにしてコンティ・ランサムウェア攻撃を阻止することができるのか?
多要素認証や従業員のサイバーセキュリティトレーニングなどの予防策に加えて、組織はAI主導の検知によってランサムウェア攻撃を早期に発見し、阻止することができます。
Contiランサムウェアはどのように拡散するのか?
ContiのようなRaaS攻撃は、malware 、システムに侵入し、ファイルを盗み、ファイルサーバーを暗号化し、復号化キーと盗まれたデータの公開を防ぐための身代金の支払いを要求する。
コンティ・ランサムウェア攻撃を防ぐ最善の方法とは?
Contiのようなランサムウェアを防ぐ最善の方法は、AI主導 、攻撃を進行の初期段階でキャッチすることだ。