Conti グループのチャットから、セキュリティ製品を購入・分析しようとする試みが明らかに

ランサムウェアの内部チャットログが流出。攻撃者がセキュリティソフトウェアの購入と分析を試み、検知回避を企んでいたことが明らかになりました。

** 本記事は、Countermeasures and observability key to defending against attackers trying to buy security products の翻訳です。最新の情報は英語記事をご覧ください。**

今週、ウクライナのセキュリティ研究者が、Conti グループの数年間のチャットログとファイルを入手しました。Conti グループは、ソフォスが数年にわたり注視してきたランサムウェアグループです。2 月 28 日には、ヘルスケアプロバイダーを標的とした同グループの攻撃についての記事を発表しました。

流出したチャットログには、同グループが Sophos Intercept X ( またはエンドポイントセキュリティ ) のライセンスを購入しようとして失敗したことが記載されています。同チャットログによると、その目的は同グループの最新のマルウェアを、ソフォスの製品が検出するかどうかをテストすることでした。

これは、マルウェア開発者やグループの間でよく見られる戦略です。攻撃者は、効果的に回避できるかどうかをテストするために、できる限り多くのセキュリティソフトウェアを正規または不正な手段で入手します。このような行為は、セキュリティ業界全体で見られます。そのためソフォスでは、製品開発および運用において、リスクを軽減するための予防策を講じています。

チャットログの記録によれば、 同グループのマルウェアがソフォス製品を回避するのを失敗したため、ライセンスとアクセス権を取得して、詳細にテストしようと画策していたことがわかっています。

セキュリティ製品のアクセス権取得

当初 Conti グループは、オンラインで利用可能な無料体験に申し込んでいました。同グループの無料体験アカウントの取得をブロックしなかった理由は、ブロックすることで正規ユーザーが無料体験アカウントを取得できなくなってしまうおそれがあるからです。無料体験のシステムは、顧客やパートナーを守るために有用な情報を提供するため、そのような状況は避ける必要がありました。

次に、2020 年 5 月 27 日、 同グループは、有料版を購入し、無料体験版からアップグレードしようとしたことが確認できます。

同グループは、ウクライナのキエフに拠点を置くと称する DocSoft という架空の会社を装って、有料版を購入しようとしました。サイバー犯罪者による製品の購入を防止するために、ソフォスは、同アカウントを疑わしいものとして目星をつけ、その地域のチャネルパートナーと協力し、取引を進める前にビデオ通話が必要であると通告しました。

この対策が効果を発揮し、 同グループはこの時点で取引を断念しました。同グループにとって、ビデオ通話はあまりにもリスクが高すぎたようです。

流出したログの内容は、上記の行動経過と一致しています。公開されたログでは、同グループのライセンスを取得する試みが失敗したことが確認できます。

ログから判明した他の事実

また特筆すべき点として、 Conti グループがソフォス製品を購入しようとした理由の 1 つとして、Conti グループのマルウェアや攻撃手法に対するソフォス製品の防御機能が高い効果を発揮していたことがログに記されていました。同グループは、ソフォスの製品の有料版を分析して、攻撃の障害となる保護機能を回避する方法を見つけ出そうと考えていたようです。

まとめ

セキュリティベンダーにとって、攻撃者がどのようにセキュリティ製品を購入、使用を試みたかについて情報を共有することは重要です。これにより、お客様に注意喚起し、より強固な防御機能を提供できるからです。

ソフォスの最高技術責任者である Joe Levy が、このチャットログの公開に対して Twitterで、「トライアルや評価版で求められる基本的な機能を超えてアカウントの審査を厳格化するために投資するよりも、セキュリティ機能の強化、可観測性や検出の改善に投資する方が効果的です。」と述べています。

コメントを残す

Your email address will not be published.