Contiランサムが怒っている様です。ここ暫くランサムリークサイトの調査・観察を続けていますが、Conti初の「パブリックコメント」は日本に本拠がある某企業向けに出ていました。

 

キタきつねの所感

Contiと言えば、被害が急増している事から9/22にFBI/CISA/NSAが共同のアラートを出していますが、その被害は海外企業が多いものの、日本企業も（海外拠点などで）被害に遭うケースも出てきています。

foxsecurity.hatenablog.com

 

今回の”パブコメ”を簡単にまとめると、１つは被害企業が個人情報漏えいは無いと発表している点への反証（≒個人情報が漏えいしている）と、交渉情報のリークについてのペナルティとして交渉を打ち切り、データの開示を始めるといった内容が書かれています。

このページをよくお読みください。

アップロードを開始しました。
ケンウッドは個人情報を失っていないと言っていましたが、ここにはたくさんの個人情報があります。
現在および将来のお客様へ

コンティチームからのハッピーフライデー!

今日は、メディア報道についていくつかの重要な問題を取り上げたいと思います。

メディアの報道は、健全な社会にとって非常に重要な機能です。しかし、時には注意点もあります。例えば、昨日、1週間前にヒットした※※※※とのチャットがジャーナリストに報告されたことがわかりました。記事には書かれていましたが、交渉は通常のビジネスの流れに沿って行われていました。しかし、交渉の最中に報道されてしまったため、結果的に交渉を打ち切り、データを公開することにしました。※※※※には既に報告済みです。

また、今週に入ってからも、交渉中のチャットのスクリーンショットがソーシャルメディア上に出回っていることが確認されています。私たちに直接被害を与えることはできませんが、メディアが他のランサムウェアグループのこのようなスクリーンショットを何週間もリークしているのを目にしました。このような行為は安価であり、知的・倫理的にも好ましくないため、私たちは関与したくありません。(尊敬するジャーナリストや研究者のパーソナリティの中には、私たちがコミュニケーションをとる相手が何人かいる）。)

これらの新しい動きの結果、私たちは次のような決断をしました。

1. もし、私たちの交渉がメディアに送られていることが明らかになった場合、私たちは交渉を打ち切り、すべてのファイルをブログに捨てます。我々は最高のチームであり、我々の推定収益をグーグルで検索してください。これが可能になったのは、私たちの優れた評判のおかげです。したがって、交渉を打ち切り、我々の名前を守るために、さらに1,000万円を犠牲にする必要があるならば、疑わずにそうするでしょう。

2. 私たちのチャットが公開された場合、あなたのファイルもダンプされます。私たちのチャットを共有したターゲットがすでに身代金を支払った後にこれが起こった場合、私たちは報復として他の人のファイルを捨てます。あなたが直接メディアや研究者とチャットを共有した場合でも、あなたがVirusTotalに私たちのサンプルをアップロードした後に彼らがVirusTotalから抽出した場合でも、私たちは気にしません。ポケットジャーナリストを介してチャットを共有しているセキュリティ企業にはコンセプト上の責任がないため、チャットに参加しているターゲットに責任を負わせます。集団的処罰による責任追及を推奨しているわけではありませんが、それしか方法がない場合はそうします。

3. 私たちは、ジャーナリズムやセキュリティ報道が適切に行われている場合は、それを尊重します。私たちは、適切な人たちと話をする準備ができていますが（道化師のような人たちは応募しないでください）、これは裏ではなく、適切な方法で行われるべきです。これは私たちだけでなく、ジャーナリスト自身にとっても、そしてターゲットにとっても重要なことです。

皆様のご理解と、※※※※が今後の適切な抑止力となり、これ以上の報復措置を行使する必要がないことを願っています。

DISCLAIMER:

!!! これは私たちの最初のパブリックコメントです。

 

ネット上を探してみたのですが、恐らくこの辺りを指しているのかと思われます。

🌐 Conti (Ryuk) #Ransomware group just hit a big firm, the ransom demand is 8.5 million dollars 🚨

They split the ransom into one hundred transactions, 850,0000 each to 100 different bitcoin wallets to not get caught by law enforcement 💸#Conti pic.twitter.com/QIwriRAmXz

— DarkFeed (@ido_cohen2) September 24, 2021

 

Contiのコメントを見ると、セキュリティ研究者（会社）がVirusTotalにアップロードされたファイルの中に書かれているプライベートチャット情報を得て、Contiと被害企業との交渉を盗み見したか、又はチャット情報をリークしたという様な背景だった事が推測できます。

※根拠はありませんが恐らく前者だった気がします。

 

ランサムグループによるとは思いますが、最近活発なランサムグループの１つであるConti（※Lockbit2.0も非常に活発です）がこうしたメッセージを公表する事で、他のランサムグループも同様な事を要求してくる事が予想されます。

そうなると外部にこうした交渉情報が出てくる事は少なくなる可能性が高く、情報のコントロールという点で、攻撃側が有利な状況が作りだされてしまうのかと思います。

 

基本的にはランサム対策をしっかりするべきですが、万が一に備え、インシデント対応計画にランサム被害を受けた際にVirusTotalへの検体アップロードをしない（プライベートチャット情報をマスクする）事や、ランサム交渉情報をリークしない事（交渉代行者も含め）などを入れる必要が、今後出てきそうな気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

• 2021年10月9日 AM