ランサムウェア「Conti」は、ロシアを拠点とするサイバー犯罪グループ「Wizard Spider」が運営していると考えられています。
このグループは、フィッシング攻撃を利用してTrickBotとBazarLoaderというトロイの木馬をインストールし、感染したマシンへのリモートアクセスを行います。
このリモートアクセスを利用して、攻撃者はネットワーク内を横方向に拡散しながら、認証情報を盗み、ワークステーションやサーバーに保存されている暗号化されていないデータを採取します。
価値のあるデータを盗み出し、Windowsドメインの認証情報にアクセスできるようになると、週明けの静かな時間帯を待ってランサムウェアをネットワーク上に展開し、すべてのデバイスを暗号化します。
その後、Contiグループは盗んだデータを盾にして被害者に身代金の支払いを迫り、支払いがない場合は身代金データのリークサイトで公開すると脅します。
二重脅迫 (ダブルエクストーション:double-extortion)とは?
Contiが過去に行ったランサムウェアの攻撃としては、FreePBX開発会社のSangoma、IoTチップメーカーのAdvantech、Broward County Public Schools(BCPS)、Scottish Environment Protection Agency(SEPA)などが有名です。
Comments