■概要
以前から情報窃取を伴いその情報の非公開、削除と引き換えに身代金の要求を行うタイプのランサム攻撃者(情報窃取のみもあるので「ウェア」なし表現としています)のリークサイトを観察し、その結果の集計を行っています。その活動の一環で観察対象であるリークサイトにおけるリーク数の集計結果とそのグラフを公開をしています。その集計に大きな変化があり、気になることがありましたので今回はそちらについてメモしていきます。
■「CONTI」の停止後の他のランサムリーク
手元にある観察の記録では日本時間で2022年06月22日に「CONTI」のリークサイトへのアクセスができなくなりました。また、「CONTI」の最後のリークは2022年05月25日でした。この原因はロシアのウクライナ侵攻について「CONTI」がコメントしたことが影響してか、「CONTI」に関する様々な情報がリークされました。それにより、これまでの運営が維持しづらくなったのかもしれませんが公式には発表されいないため推測の域を出ません。「CONTI」はこれまで観察している範囲において「LockBit 2.0」(現在は3.0と名称変更)が登場した2021年07月以降から2022年04月まで、下図が示す通り常に「LockBit」に次ぐリーク数を維持し続けていました。
しかし、2022年05月にリーク数が今までにない減少が見られ、他のランサム攻撃者のリークサイトとリーク数において入れ替わる形となりました。2022年05月に「CONTI」のリーク数を上回ったランサム攻撃者のリークサイトは「BlackCat(ALPHV)」「Hive」「BlackBasta」です。この内「Hive」と「BlackBasta」は2022年07月に入ってから、日別でみるとこれまでにない数のリークを行いました。2021年05月01日から同年07月08日までの日別集計をしたグラフが下図の通りです。
上図の観察期間が短いため確かなことは言えませんが、「CONTI」のリーク数減少に合わせる形で「BlackBasta」が登場し、「Hive」の活動も少し活発になっているようにも見えます。
■これまでのリーク数平均
更に気になったのでこれまでのリーク数の平均を一覧にしました。まずは月ごとの平均です。
2020年 | 2021年 | 2022年 | |
CONTI |
31.5
|
36.17
|
33.00
|
LockBit(2021年07月~) | – |
71.67
|
63.00
|
Hive(2021年06月~) | – |
8.57
|
10.17
|
BlackBasta(2022年04月~) | – | – |
15.33
|
「Hive」「BlackBasta」はそれぞれ2022年07月01日までの合計が、10件、25件ですので、ともにこれまでの月ごとの平均と比較すると多い数字を一週間で出しています。また、日ごとの平均も一覧にしました。
04月 | 05月 | 06月 | 2022年07月01日~08日 | |
CONTI |
1.60
|
0.23 | – | – |
LockBit | 3.13 | 2.26 |
1.50
|
1.13 |
Hive | 0.17 | 0.48 | 0.17 | 1.25 |
BlackBasta | 0.03 | 0.87 |
0.60
|
3.00 |
日ごと平均で見てみても、これまでより多い件数と言えます。加えて、条件をできるだけ同じにするため、その月の初めての金曜日からその日を含む8日間における日ごとの平均を一覧にしました。
04月 | 05月 | 06月 | 7月 | |
LockBit | 3.50 | 2.13 | 2.38 | 1.13 |
Hive | 0.00 | 0.00 | 0.13 | 1.25 |
BlackBasta | – | 1.38 | 0.63 | 3.00 |
やはり、これまでと比較すると今月に入ってからのリークは多いということが言えます。
■「CONTI」と「Hive」、「BlackBasta」の関係
「BlackBasta」は調べてみるといくつかのリサーチャやベンダーが発信している情報から関連性が伺えるということが言われています。例えば「MalwareHunterTeam」は以下のようなツイートを以前にしています。
So this Black Basta ransomware gang must have something to do with Conti:
– The leak site feels to much similar to Conti’s.
– The payment site is some too.
– How their support people talking is also basically same.
– How they/their support people behaves also reminds me of Conti.— MalwareHunterTeam (@malwrhunterteam) April 27, 2022
また、「Hive」に関しては、CISCOのブログおよびレポートにおいて「CONTI」と「Hive」は被害者とのコミュニケーションスタイルが異なるということを言及していました。(これに関してはPodcast セキュリティのアレ の第133回で取り上げています)これを見る限りは関連はないと言えるかもしれません。しかし、リークの集計と記録をする上で気になっていたことがありました。「CONTI」と「Hive」は過去に2回、同じ組織を攻撃し、リークしています。
1回目の共通する組織のリークは 、「CONTI」が 2021年7月6日(火)、Hiveが 2022年2月15日(火)。
■コメント
■更新履歴
・2022年07月11日 初版公開