メニュー

「CONTI」が停止してからの「Hive」と「BlackBasta」について気になったことメモ

2022年7月11日 - ransom
「CONTI」が停止してからの「Hive」と「BlackBasta」について気になったことメモ

■概要

以前から情報窃取を伴いその情報の非公開、削除と引き換えに身代金の要求を行うタイプのランサム攻撃者(情報窃取のみもあるので「ウェア」なし表現としています)のリークサイトを観察し、その結果の集計を行っています。その活動の一環で観察対象であるリークサイトにおけるリーク数の集計結果とそのグラフを公開をしています。その集計に大きな変化があり、気になることがありましたので今回はそちらについてメモしていきます。

 

■「CONTI」の停止後の他のランサムリーク

手元にある観察の記録では日本時間で2022年06月22日に「CONTI」のリークサイトへのアクセスができなくなりました。また、「CONTI」の最後のリークは2022年05月25日でした。この原因はロシアのウクライナ侵攻について「CONTI」がコメントしたことが影響してか、「CONTI」に関する様々な情報がリークされました。それにより、これまでの運営が維持しづらくなったのかもしれませんが公式には発表されいないため推測の域を出ません。「CONTI」はこれまで観察している範囲において「LockBit 2.0」(現在は3.0と名称変更)が登場した2021年07月以降から2022年04月まで、下図が示す通り常に「LockBit」に次ぐリーク数を維持し続けていました。

しかし、2022年05月にリーク数が今までにない減少が見られ、他のランサム攻撃者のリークサイトとリーク数において入れ替わる形となりました。2022年05月に「CONTI」のリーク数を上回ったランサム攻撃者のリークサイトは「BlackCat(ALPHV)」「Hive」「BlackBasta」です。この内「Hive」と「BlackBasta」は2022年07月に入ってから、日別でみるとこれまでにない数のリークを行いました。2021年05月01日から同年07月08日までの日別集計をしたグラフが下図の通りです。

上図の観察期間が短いため確かなことは言えませんが、「CONTI」のリーク数減少に合わせる形で「BlackBasta」が登場し、「Hive」の活動も少し活発になっているようにも見えます。

 

■これまでのリーク数平均

更に気になったのでこれまでのリーク数の平均を一覧にしました。まずは月ごとの平均です。

2020年 2021年 2022年
CONTI
31.5
36.17
33.00
LockBit(2021年07月~)
71.67
63.00
Hive(2021年06月~)
8.57
10.17
BlackBasta(2022年04月~)
15.33

「Hive」「BlackBasta」はそれぞれ2022年07月01日までの合計が、10件、25件ですので、ともにこれまでの月ごとの平均と比較すると多い数字を一週間で出しています。また、日ごとの平均も一覧にしました。

04月 05月 06月 2022年07月01日~08日
CONTI
1.60
0.23
LockBit 3.13 2.26
1.50
1.13
Hive 0.17 0.48 0.17 1.25
BlackBasta 0.03 0.87
0.60
3.00

日ごと平均で見てみても、これまでより多い件数と言えます。加えて、条件をできるだけ同じにするため、その月の初めての金曜日からその日を含む8日間における日ごとの平均を一覧にしました。

04月は、01日から08日まで
05月は、06日から13日まで
06月は、03日から10日まで
07月は、01日から08日まで
です。
04月 05月 06月 7月
LockBit 3.50 2.13 2.38 1.13
Hive 0.00 0.00 0.13 1.25
BlackBasta 1.38 0.63 3.00

やはり、これまでと比較すると今月に入ってからのリークは多いということが言えます。

 

■「CONTI」と「Hive」、「BlackBasta」の関係

「BlackBasta」は調べてみるといくつかのリサーチャやベンダーが発信している情報から関連性が伺えるということが言われています。例えば「MalwareHunterTeam」は以下のようなツイートを以前にしています。

また、「Hive」に関しては、CISCOのブログおよびレポートにおいて「CONTI」と「Hive」は被害者とのコミュニケーションスタイルが異なるということを言及していました。(これに関してはPodcast セキュリティのアレ の第133回で取り上げています)これを見る限りは関連はないと言えるかもしれません。しかし、リークの集計と記録をする上で気になっていたことがありました。「CONTI」と「Hive」は過去に2回、同じ組織を攻撃し、リークしています。

1回目の共通する組織のリークは 、「CONTI」が 2021年7月6日(火)、Hiveが 2022年2月15日(火)。

2回目の共通する組織のリークは、2022年5月24日(火)と「CONTI」の最終リークの前日で同日です。
 

■コメント

今回の「Hive」と「BlackBasta」のリーク数のスパイクは「CONTI」の停止と関連性があるかどうか、それはどのようなものなのかは、はっきりとは断言できませんが、「CONTI」が停止することで他のRaaSに影響を与えることは多少なりともあるのではないかと思っています。例えば、「CONTI」がリブランドをして別の名前で再開しているか、または、これまで「CONTI」のRaaSを利用していたアフィリエイトが別のRaaSに移行したということも可能性として考えられると思います。とはいえ2022年07月の一週間ほどを切り取った調査ですので一時的なものかもしれません。そのため今回のリーク数の増加がこれから続くかどうか見続けておく必要があると感じております。いずれにしても言えることは「CONTI」という大手であり、かつ老舗のRaaSが停止したからといってそれに関わっていた攻撃者がいなくなったわけではないため手放しに喜べることではないということです。このような観察や記録を行い始めて3年目になりましたがこれからも続けていこうと思いました。

 

 


■更新履歴

・2022年07月11日 初版公開