ランサムウェアビジネスの裏側:コンティ暴露
Contiランサムウェアグループの運営と利益を深く探る。
― 1 分で読む
目次
ランサムウェアは何年もかけて大きく変わったよ。最初は簡単な攻撃から始まったけど、今では何百万も稼ぐ組織的な犯罪グループになってる。ランサムウェアはニュースでは大きな話題だけど、これらのグループがどうやって働いてお金を稼いでるのかについては、あんまり詳しい研究がされてないんだ。
この記事では、最大のランサムウェアグループの一つであるContiを詳しく見ていくよ。彼らのチャットから漏れたメッセージを使って、どうやって運営しているのかを理解するんだ。これらのメッセージを研究することで、Contiがビジネスとしてどう運営されてるのか、どのようにお金を稼ぎ、従業員を雇い、各人がどんな役割を持ってるのかがわかるよ。また、このグループへの支払いを追跡する方法も見つけて、80百万ドル以上が身代金として支払われたと推定してる。これはこれまでの研究が示した金額の5倍以上だよ。
ランサムウェアって何?
ランサムウェアはコンピュータのファイルをロックして、そのファイルを解除するための鍵の対価として支払いを要求する有害なソフトウェアの一つだよ。最近、ランサムウェアを使った攻撃が急増してる。今ではもっと多くの犯罪グループと新しい金銭的脅迫の方法が出てきた。2021年には、ランサムウェアの支払いが6億ドルを超えると推定されてる。
この増加のために、「Ransomware as a Service」(RaaS)が登場したよ。このモデルでは、いろんなグループが役割を分担して攻撃をより効果的にするんだ。一つのグループが悪意のあるソフトウェアを作り、他のグループがそれを使って被害者を感染させる。ランサムウェアの操作が成長してるけど、今どのように機能してるかについての徹底的な研究はまだ足りてない。
Contiの内部
この記事では、Contiの漏えいしたチャットメッセージやビットコインアドレスを分析することに焦点を当ててる。このグループは病院や食料供給会社を標的にした多くの高プロフィールな攻撃を行ってきたよ。過去にContiは何か問題に直面したけど、それでも最近では被害者の数と身代金の金額の両方でトップ3のランサムウェアグループの一つだった。
Contiの内部チャットからの168,000通以上のメッセージが2022年2月にウクライナのセキュリティ研究者によって漏洩されたよ。これらのメッセージは、マルウェアの開発から被害者との交渉まで、グループの機能についての洞察を提供してくれる。チャットには、仲間のビットコインウォレットのアドレスや、グループがメンバーを募集する方法など、役立つ情報も含まれてる。
経済分析
私たちの分析から、法執行機関や政策立案者に役立つ重要な情報が得られたよ。例えば、たった2つの仮想通貨取引所がContiへの支払いの90%以上を占めてることがわかった。また、Contiはセキュリティをあまりうまく管理していないことも観察したよ。多くの給与支払いが厳しい身分証明のルールがある取引所を通じて行われていた。
漏洩したチャットログの中のすべてのビットコインアドレスを、その目的(給与、払い戻し、身代金の支払いなど)に基づいて注意深くラベル付けしたんだ。これによってContiの収入と支出をよりよく理解できたよ。身代金からの総収入は約7790万ドル、支出は約3120万ドルと推定してる。
ランサムウェアグループの構造
ランサムウェアの運営には、さまざまなスキルを持った多くの人が必要だよ。人々は、ランサムウェアを設計・テスト・配布するだけでなく、被害者との連絡も管理する必要がある。身代金が支払われると、攻撃者は通常、さまざまな取引所やサービスを使って資金を洗浄するんだ。
通常、ランサムウェアの操作は二つのカテゴリーに分けられる:ランサムウェアオペレーターとランサムウェアアフィリエイト。オペレーターは通常、給与をもらっている労働者で、リクルート、マルウェアの開発、支払いプロセスの管理などを担当してる。アフィリエイトはコミッションベースで働き、新しい被害者を狙ったり、攻撃後の交渉を扱ったりする。
マネージャーもこれらの操作には欠かせない役割を果たしてる。彼らは採用、財務、人事を監督していて、運営のすべての部分がスムーズに進むようにするんだ。また、チームメンバー間のコミュニケーションを指導し、タスクが完了することを確実にしている。
ランサムウェアグループの運営方法
Contiのようなランサムウェアグループは、よく専門のチームに業務を分けてるよ。例えば、マルウェアを作成・テストする開発チームや、被害者と直接やり取りをする交渉チームがある。それぞれのチームは、ランサムウェア攻撃の異なる段階を満たす特定のタスクを持ってる。
多くのランサムウェアグループは漏洩サイトを運営してることもわかってる。これらのサイトは、身代金の要求に従わないと被害者のデータを公開するぞと脅かすんだ。2019年以降、約80のグループが公共の漏洩サイトを立ち上げたけど、全てのグループがそうするわけではない。一部のグループは自分たちのブランドを変更したり、お互いにコードを共有したりすることもある。
ビットコインの足跡
被害者からランサムウェアグループへのお金の流れを追うために、漏洩したメッセージのビットコインアドレスを調べたよ。身代金の支払いに使われるアドレスを特定する新しい方法を見つけた。以前の公開データセットを元に、Contiに関連する75の身代金支払いアドレスを特定し、それらは8390万ドルに達することがわかった。
多くの身代金の支払いが、未知のビットコインアドレスのクラスターからきてることも見たよ。これらのアドレスは、複数の被害者に関連する店頭取引操作の一部かもしれない。これによって、ランサムウェアグループのための支払い処理を手助けし、彼らが足跡を隠すのをより効果的にしている可能性がある。
Contiのチーム構造
漏洩したチャットデータによると、Contiの中には特定の役割があるんだ。例えば、開発、テスト、管理を担当する人がいるよ。マネージャーはチームを組織し、日々のタスクを監督することが多い。
チャットの中には、マネージャーがリソースを管理し、タスクを割り当てる上で重要であることも示されてる。彼らはしばしばチームに一斉メッセージを送って、業務を指示するんだ。コミュニケーションの量に基づいて、特定の人が組織内で重要な役割を果たしているようだ。
リクルートや業務
採用に関して、Contiは正規の求人サイトや地下フォーラムのような暗い場所からリクルートしてることで知られてる。雇用されるとき、彼らは仕事の違法性について完全に理解していないことが多いよ。これが、スタッフの間で仕事の本当の性質について混乱を招くことがある。
リクルートプロセスでは、仕事の内容があいまいに説明されることが多い。たとえば、候補者は「ペネトレーションテスト」や「ハッカーソフトウェア」を担当すると言われることがある。この明確さの欠如は、グループが法的な影響から守られる助けになってるかもしれない。
倫理的な懸念
漏洩データを分析する際に考慮すべき倫理的な問題もあるよ。一つの大きな懸念は、漏洩データを使用することが正当化されるかどうか、リスク考慮のうえで。研究者たちは、この場合、これらのグループの働き方を理解することの利益がリスクを上回ると考えているんだ。
漏洩データはすでに公開されているけれど、研究者たちは個人情報が開示されないように対策を取ってる。彼らは研究に必要なデータに焦点を当てているよ。
大局を考える
Contiグループは現代のサイバー犯罪の重要な一部を示してる。彼らの運営やお金の稼ぎ方を理解することで、ランサムウェアと戦うためのより良い戦略を作れるんだ。これには、取引所に焦点を当てて支払いを特定し、ブロックすること、そしてこれらの操作を運営するマネージャーやリーダーをターゲットにすることが含まれるよ。
さまざまなレベルでの運営を妨害することで、ランサムウェアの問題をより効果的に扱えるんだ。ランサムウェア生態系の脆弱性を特定することで、法執行機関や他の組織がこれらのグループに圧力をかけることができるようになる。
結論
要するに、ランサムウェアは複雑で利益を生むビジネスモデルになってしまった。Contiのようなグループは、犯罪的な事業にテクノロジーを上手く活用していて、彼らの運営方法を知ることはサイバー犯罪との戦いに役立つ。利用可能なデータを分析することで、法執行機関の戦略を情報提供するだけでなく、将来の攻撃に対する防御を強化する洞察が得られるんだ。
ランサムウェアとの戦いは続いていて、これらのグループの方法や構造を理解することは、この増大する脅威に対処するための貴重な知識を提供してくれるよ。
タイトル: Money Over Morals: A Business Analysis of Conti Ransomware
概要: Ransomware operations have evolved from relatively unsophisticated threat actors into highly coordinated cybercrime syndicates that regularly extort millions of dollars in a single attack. Despite dominating headlines and crippling businesses across the globe, there is relatively little in-depth research into the modern structure and economics of ransomware operations. In this paper, we leverage leaked chat messages to provide an in-depth empirical analysis of Conti, one of the largest ransomware groups. By analyzing these chat messages, we construct a picture of Conti's operations as a highly-profitable business, from profit structures to employee recruitment and roles. We present novel methodologies to trace ransom payments, identifying over $80 million in likely ransom payments to Conti and its predecessor -- over five times as much as in previous public datasets. As part of our work, we publish a dataset of 666 labeled Bitcoin addresses related to Conti and an additional 75 Bitcoin addresses of likely ransom payments. Future work can leverage this case study to more effectively trace -- and ultimately counteract -- ransomware activity.
著者: Ian W. Gray, Jack Cable, Benjamin Brown, Vlad Cuiujuclu, Damon McCoy
最終更新: 2023-04-23 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2304.11681
ソースPDF: https://arxiv.org/pdf/2304.11681
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。