Conti

Contiを開発しているのは、ロシアのサンクトペテルブルクとウクライナを拠点にしていると推測されるハッカーグループのウィザード・スパイダーで^[8]、同グループはランサムウェアRyuk（英語版）も運用している^[9]。

サービスとしてのランサムウェア(RaaS)を提供しているが、他のグループとはやや異なり、身代金の一部を報酬としてアフィリエイトに支払うのではなく、ランサムウェアを運用した攻撃者に賃金を支払っている^[4]。

脅威の詳細

Microsoft Windowsのすべてのバージョンが影響を受けることがわかっている^[1]。Mac OS、Linux、Androidは脅威を受けない^[10]。

Contiの攻撃者は、スピアフィッシング攻撃、リモート監視・管理ソフトウェア、リモートデスクトップソフトウェアなど、様々な手法やツールを用いてシステムに侵入する^[4]。

セキュリティ企業Advanced Intelligenceは、ContiなどがLog4jの脆弱性（詳細はLog4Shellを参照）を悪用する手段を模索していると報告している^[11]。

挙動

システムに侵入すると、Windowsのバックアップであるボリュームシャドウコピーを削除しようとする^[1]。リスタートマネージャを使用して多くのサービスを停止させ、それらが使用しているファイルを確実に暗号化できるようする。リアルタイムモニターを無効にし、Windows Defenderアプリケーションをアンインストールする^[1]。

Contiは、ネットワークを通じて横方向に広がることで被害を拡大させようとする。デフォルトの動作では、ネットワークのServer Message Blockドライブを検出しようとし、ローカルと同様にすべてのファイルを暗号化させる^[10]。 このランサムウェアは、最大32個の個別の論理スレッドを使用するAES-256を実装しており、他のランサムウェアよりもはるかに高速で暗号化する^[1]。その結果、デバイスのCPU使用率、機能、パフォーマンスにも影響が出るが、Contiは発見されるリスクよりも迅速に暗号化することで任務を達成しようとする^[10]。

暗号化するとシステムに致命的なダメージを与えるWindows、boot、tempといったフォルダや、.DLL、.exe、.sys、および.lnkといった拡張子のファイルは暗号化から除外される^[1]。またオプション設定によっては、特定のドライブや個々のIPアドレスをターゲットにすることもできる^[1][2]。 Contiによって暗号化されると、旧バージョンではファイル名に .CONTI または .[A-Z]{5} のファイル拡張子が追加されていたが、最新バージョンではファイル名に .CONTI の拡張子は使用されなくなっている^[10]。

暗号化が完了すると「Conti_README.txt」または「readme.txt」というファイルを生成する^[10]。このテキストには被害者向けに、連絡先や身代金の支払い方法などが記されている。連絡先URLの「CONTI Recovery service」というサイトでは、攻撃者と連絡をとるために readme.txt ファイルをアップロードするよう指示される^[10]。

脅迫

暗号化の解除（復号）と、盗んだ情報を流出させると、二重で脅迫することで身代金を要求する。2021年10月、ContiはJVCケンウッドと交渉中、その情報がリークされたことを不満として、入手したデータを意地でも公開すると宣言している^[12]。

復旧

身代金を支払ったとしても復旧できない事例も多く、「一部しか復旧できなかった」「ファイルを削除してしまったので復元は不可能と言われた」「途中で音信不通となった」など、犯人グループの不誠実な対応も指摘されている^[5]。 そのためNHS Digital（英語版）は、システムを復旧する唯一の方法は、暗号化されたすべてのファイルを最新のバックアップから復元するしかないとしている^[1]。

リサーチ

サイバーセキュリティ企業VMware Carbon Black（英語版）は、Contiに関するテクニカルレポートを公開している^[2][13]。

2020年

5月、Contiの活動が初めて確認された。同時に盗み出した情報を暴露するサイトも開設している^[9]。

2021年

4月、三井物産セキュアディレクションによるとContiは全ランサムウェア被害全体の25%を占めており、現在活動中の全てのランサムウェア攻撃グループの中で最も活発かつ被害数が多いと推測している。同社によると、1ヶ月あたり平均30以上の組織が被害に遭っているという^[3]。

5月20日、アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が判明すると、Contiは国際的な怒りと非難を浴びたため、攻撃に関与したマルウェアグループはこのランサムウェアのデクリプター（復号鍵）を公開した^[10]。 BlackBerryの脅威調査チームの検証によると、このツールは本当に悪意のない復号ツールだったという^[10]。ただし、ファイル名が .FEEDC で終わるファイルだけ復号されるため、このファイル名を追加しない Contiの亜種や株には役に立たない^[10]。

9月20日、アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）と国家安全保障局（NSA）、FBIは、ランサムウェア「Conti」による攻撃が計400件以上確認されたと共同で警告を発した^[14]。そのうち290以上はアメリカの組織が対象だという^[15]。

12月、セキュリティ企業Advanced Intelligenceは、Contiが過去6カ月間で1億5000万ドル（約170億円）以上の身代金を入手していたとしている^[15]。

2022年

2月24日、ロシアがウクライナに侵攻した。翌25日、国際的ハッカー集団アノニマスが「ロシア政府を標的にした対抗作戦を実行する」と発表し「gov.ru」や「kremlin.ru」などの関連サイトがダウンしアクセス不能となった^[16]。同日、ランサムウェア「Conti」を開発するハッカー集団が「ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する」との声明を発表した^[6]。約1時間後「どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する」と一部訂正したが「米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する」という立場は変えなかった^[6]。

2月27日、Twitterに「＠ContiLeaks」が出現。アカウント名通りContiのメンバー同士の会話やログ、ランサムウェアのソースコードなどをリークし始めた。内部情報は6万件以上で、欧米のセキュリティ専門家たちによると、この情報は本物で間違いないという。メッセージには「ウクライナに栄光あれ！」と添えられていた^[17]。Krebs on Securityによると、アカウントを開設したのはウクライナのセキュリティ研究者だとしている^[18]。