世界で最も危険なランサムウェア集団「コンティ」の日常

2022年3月16日午前7時

ウクライナの研究者がコンティ内部から6万件のメッセージを漏洩した。その内容は以下のとおり。

Contiランサムウェアグループは世界を席巻していました。広大なサイバー犯罪ネットワークは昨年、被害者から1億8000万ドルを脅し取り、他のランサムウェアグループの収益を凌駕しました。その後、ウラジーミル・プーチン大統領のウクライナ侵攻を支援しました。そして、すべてが崩壊し始めました。

コンティの崩壊は、通常は被害者の氏名を掲載するウェブサイトに1件の投稿がされたことから始まった。2月24日にロシア軍がウクライナ国境を越えた数時間後、コンティはロシア政府に「全面的な支援」を表明し、ロシアへのサイバー攻撃を敢行する者には重要インフラへのハッキングを行うと脅迫した。

コンティのメンバーの多くはロシアに住んでいるものの、その活動範囲は国際的だ。戦争はグループを分裂させ、一部は内心ではプーチン大統領の侵攻に反対していた。コンティの首謀者たちは声明を撤回しようと躍起になったが、時すでに遅し。ダメージはすでに及んでいた。特に、コンティのファイルや内部チャットシステムにアクセスできる数十人の中には、グループに潜入していたウクライナのサイバーセキュリティ研究者も含まれていた。彼らはコンティを徹底的に攻撃し続けた。

2月28日、新たに開設されたTwitterアカウント「@ContiLeaks」が、ランサムウェアグループのメンバー間で交わされた6万件以上のチャットメッセージ、ソースコード、そして多数のConti内部文書を公開した。今回の漏洩の範囲と規模は前例のないもので、ランサムウェアグループの日常的な内部活動がこれほど明るみに出されたことはかつてなかった。「ウクライナに栄光あれ」と@ContiLeaksはツイートした。

WIREDが詳細に検証した流出メッセージは、コンティの活動に関する比類なき洞察を提供し、世界で最も成功を収めているランサムウェア集団の一つであるコンティの冷酷な本性を露呈している。明らかにされた情報の中には、同集団の洗練されたビジネスライクな階層構造、メンバーの性格、法執行機関の巧妙な回避方法、そしてランサムウェアの交渉の詳細などが含まれている。

「ギャングが進化していく様子、ギャングの生き様、そして犯罪を犯し、数年かけて変化していく様子を目の当たりにしてきました」と、過去10年間の大半をコンティのメンバーの追跡調査に費やしてきたホールド・セキュリティー社のアレックス・ホールデン氏は語る。ウクライナ生まれでアメリカ在住のホールデン氏は、文書を漏洩したサイバーセキュリティ研究者を知っているものの、安全上の理由から匿名を保っているという。

Contiランサムウェアグループは、世界中の多くの企業と同様に運営されています。人事部や管理部からプログラマーや研究者まで、複数の部署を擁しています。ハッカーがコードを処理する際のポリシーを定め、グループのメンバーを法執行機関から隠蔽するためのベストプラクティスを共有しています。

事業のトップは、デモン（Demon）の愛称で知られるスターン氏で、CEOを務めています。コンティのメンバーはスターン氏を「ビッグボス」と呼んでいます。コンティのメンバーは全員、変更可能な仮名のユーザー名を持っています。スターンは定期的にメンバーの仕事ぶりを追及し、時間の使い方を尋ねてきます。「こんにちは。調子はどうですか？成功でも失敗でも、結果を書いてください」と、スターンは2021年3月に50人以上のコンティメンバーに送ったメッセージに書いています。

コンティ氏のチャットログは、2020年初頭から2022年2月27日（メッセージが流出する前日）までの2年間にわたります。WIREDは2月に、別の情報源から提供されたメッセージの一部について報じました。会話は断片的で（WhatsAppやSignalのメッセージを文脈から切り離したような感じ）、元のロシア語のまま公開されました。WIREDは、メッセージの機械翻訳版を確認しました。

最も興味深い議論のいくつかは、コンティ社内でゼネラルマネージャーを務めるマンゴー氏とスターン氏の間で交わされた。マンゴー氏はスターン氏とのプライベートチャットで、チームメンバーの不満を漏らしたり、グループのプロジェクトの進捗状況をスターン氏に報告したりしながら、頻繁に長々と独白する。「彼らは、各部署に様々なツールを調達し、従業員の給与支払いを確実にする責任を負っているようだ」と、セキュリティ企業マンディアントのサイバー犯罪分析ディレクター、キンバリー・グッディ氏は語る。

マンゴ氏は2021年半ば、コンティのメインチームは62人で構成されていたとスターン誌に語った。コンティのメンバー数は、メンバーの加入と脱退により変動しており、時期によっては100人程度に達することもある。スターン誌は、ある時点でさらに100人の参加者を募集することを検討しているという。「グループは非常に大きいため、中間管理職がまだいるほどです」と、メンバーのリバース氏は2021年6月にミートボール誌に語っている。

潜在的な労働者は、ハッカーフォーラムやウェブ上の正規の求人サイトからコンティの採用システムに流れ込んでくる。オンボーディングプロセスのようなものもある。新しいメンバーがグループに参加すると、担当のチームリーダーに紹介され、チームリーダーから仕事が割り当てられる。「夕方に計画会議を開き、あなたをチームに任命します」とリバースは別のメッセージで述べている。

「一見して驚くべき点は、組織の規模、構造、そして階層構造です」と、文書を精査してきたセキュリティ研究者のソウフィアン・タヒリ氏は語る。「彼らはソフトウェア開発会社とほぼ同じように運営されており、一般的な認識とは異なり、多くのプログラマーは給与を受け取っており、身代金の支払いには関与していないようです。」

一般プログラマーの月給は1,500ドルから2,000ドル程度だが、身代金交渉にあたる者は利益の一部を受け取ることができる。このグループは2021年4月、匿名のジャーナリストを給与明細に載せ、被害者に身代金支払いを迫る圧力をかけることで5%の報酬を得ていたと主張している。「給料は1日と15日で、通常は月2回です」とマンゴ氏はグループのメンバーに話した。コンティのメンバーは、家族の問題（母親が心臓発作を起こしたためもっとお金が必要だと主張する者もいる）や資金難を理由に追加の報酬を要求することもある。

コンティ内では、個人レベルでもグループレベルでも、金銭が頻繁に議論される話題となっている。彼らは、ファイルの復号鍵を提供する見返りに企業に請求する身代金（しばしば数百万ドルに上る）について議論している。機器購入に充てられる予算や、オフィスやサーバーの運営費用についても話し合っている。「彼らは経費リストを記載したGoogleドキュメントのスプレッドシートも共有しています」とグッディ氏はある事例について語る。

しかし、コンティのメンバーの中には、高級車を運転し、大金を隠しているところを摘発されたサイバー犯罪者のような大言壮語をする者もいる。バイオは銀行口座に「8万ドル」あると自慢し、「今月は君と過ごした10年間よりも稼いだ」と語る。しかし、彼らはすぐに「誇張しただけだろう」と反論する。別の機会には、スキッピーが稼いだお金で27インチのiMacを購入したと言い、「ずっと欲しかった」と付け加えた。

スキッピーも仕事から休暇を取ることに興奮していた。2021年11月、彼らは新年に海外旅行に行く予定だったが、マンゴーから逮捕される可能性があると警告されたという。「もちろん、あなた次第だけど、私なら海外には行かない」とマンゴーは言った。スキッピーは、残りの人生を「ロシアで過ごす」ことになるのかと問い返した。マンゴーは、携帯電話を「クリーン」にし、ノートパソコンは持ち込まないようにとアドバイスした。ギャングのメンバーは、上司に休暇申請が承認されたか、早く仕事を終えられるか尋ねることもある。

「ログから、彼らはチームスピリットを維持する方法に関する膨大なマニュアルを持っていることがわかりました」と、セキュリティ企業AdvIntelのCEO、ヴィタリ・クレメズ氏は語る。コンティ氏はチャットの中で、クレメズ氏の研究を何度も言及した。「彼らはただ金儲けをしているのではなく、人々のことを考え、自分たちが作り上げた環境でより成功する方法を考えてくれているのです。」

グループのメンバー同士が知り合い、時には親しくなるにつれて、会話の多くは退屈な日常のおしゃべりになる。2021年の大晦日には、2022年の幸運を祈るメンバーもいれば、新型コロナウイルスに感染したことを互いに伝えたり、インターネット接続に問題を抱えていることを伝えたり（「本当にごめん、ネットが繋がらない」）、パートナーや元恋人について語り合うことで絆を深めたりした。井戸端会議での会話は、コンティのダークな作品とは対照的だ。

ある程度の仲間意識はあるものの、スタッフの離職率は高い。メンバーは頻繁に退職する傾向があり、常に採用活動が必要となる。WIREDが以前報じたように、2020年には、サイバー犯罪組織「トリックボット」の一員であるコンティのメンバーが、サンクトペテルブルクに6つのオフィスを開設し、新規メンバーを募集することを検討していた。2021年7月、マンゴーはスターンにメッセージを送り、モスクワでの「時間」を過ごし、新しい会社を立ち上げたいと伝えた。スターンは、ここ2年間のリモートワークの増加に呼応し、「今はラップトップからチームを管理する方が楽だ」と返信した。

漏洩したContiのチャットメッセージのほとんどはJabberで送信されたDMですが、このグループはSlack風のプラットフォームであるRocket.Chatを使って攻撃を指揮しています。Rocket.ChatはSlackやMicrosoft Teamsと同様に、左側のパネルにグループのチャンネルが一覧表示されます。

「潜在的な被害者や感染者のために特別に作成されたチャンネルがありました」と、コンティのファイルを調査し、このグループのRocket.Chatでの会話を再現したカナダのセキュリティ研究者、エミリオ・ゴンザレス氏は述べています。チャンネル名には、企業が「dead（死亡）」または「done（完了）」と記載されています。各チャンネルには、役職や責任の異なる2～4人の参加者がいるとゴンザレス氏は言います。「会話は通常、被害者のネットワーク上の特定のマシンへの認証情報またはアクセス権の提供から始まります。」そして、そこから攻撃が進行します。The Interceptによる2022年2月のRocketChatメッセージのレビューでは、このグループが一般チャンネルで薬物使用や児童性的虐待に関するコンテンツを議論し、ウクライナのウォロディミル・ゼレンスキー大統領について反ユダヤ的な発言をしていることが示されています。

Contiはチャットメッセージ以外にも、一般的なツールを使って情報を整理しています。チームは、オンライン接続にはTorブラウザ、暗号化メールにはGPGとProtonMailを定期的に利用し、自動消滅メッセージにはPrivnoteを使用し、file.io、qaz.im、そしてFirefoxの廃止されたSendサービスを通じてファイルを共有しています。また、Crunchbaseなどのデータベースも活用し、ターゲットとする企業に関する情報収集を行っています。

コンティの組織構造には、潜在的な脅威の調査を含むオープンソースインテリジェンスに特化したチームがあります。このグループは、セキュリティ企業からウイルス対策システムを購入し、マルウェアのテストを行おうとしました。そのために偽の企業を作り上げていたのです。彼らは最新のセキュリティ研究に関するYouTube動画を拡散し、研究者の発言を視聴し、グループに関するニュース記事を共有しています。（コンティのメンバーの一人は、2月にTrickbotグループに関するWIREDの記事が掲載された翌日に、そのロシア語版の要約をスターンに送りました。）

他の職場と同じように、コンティのメンバーも同僚に不満を抱いている。メッセージに返信しない、勤務中に姿を消す（「散髪に行った」など）、長時間労働に不満を漏らすなどだ。「私としては、24時間連絡を取り合うべきだという考えには賛成できません」とドライバー氏は2021年3月に不満を漏らした。一日中働くことは「燃え尽き症候群への直行線」だと彼らは言う。

セキュリティ企業チェックポイントによるチャットの分析によると、このギャングは、パフォーマンスが低かったり、出勤しなかったりしたメンバーに罰金を科している。「ここには100人いるが、その半分、いや10%でさえ、必要なことをしていない」とスターンは2021年夏、マンゴーに語った。「しかも、金だけを要求する。自分たちが役に立っていると思っているからだ」。別の場面では、スターンはある人物を叱責した。「お前以外は全員働いている」

コンティのメンバーであるダラーは特に厄介だ。2022年1月20日、ハンドルネーム「サイバーガンスター」はマンゴーに対し、ダラーについて激しい非難を浴びせた。「ダラーをゲームから外そう。奴は最低の野郎だ」とサイバーガンスターは書いている。ダラーは、そうしないように言われていたにもかかわらず、グループのランサムウェアで病院を狙ったとされている。コンティのメンバーは、病院や医療センターを攻撃しないというルールがあると述べているが、2021年5月にアイルランドの保健サービスが攻撃され、組織は復旧に6億ドルの損害を被った。サイバーガンスターからの苦情から6日後、マンゴーはダラーに詰め寄った。「あなたは本当に良いことより問題の方が多い」と、11通のメッセージの1つには書かれている。マンゴーは「みんないつもあなたのことを不平を言って怒っている」と言い、病院を標的にすることでダラーがギャングの「評判」を落としていると非難した。

日常業務が暴露されたにもかかわらず、Contiグループは消滅したわけではない。しかし、メッセージには、オンラインで使用するハンドルネーム、ビットコインアドレス、メールアドレスといった個人情報の痕跡が含まれている。「もしこの情報が真実なら、法執行機関にとって間違いなく楽になる」とタヒリ氏は言う。「Trickbot/Contiの背後にいるグループを解体すれば、インフラ全体に影響が出ることは間違いない」。グループのメンバーもこのことをよく理解している。「我々はすでにニュースになっている」と、漏洩前に送られた最後のメッセージの一つには書かれていた。

WIREDのその他の素晴らしい記事