悪名高いコンティ ランサムウェア ギャングの元メンバーを含むサイバー犯罪グループが、ウクライナ政府とこの地域のヨーロッパの NGO を標的にしていると Google は述べています。
詳細は 新しいブログ投稿 脅威分析グループ (TAG) は、国家が支援するサイバー活動の追跡を専門とする Google 内のチームです。
半年以上続いたウクライナ内戦の背景には、ハクティビズムや電子戦などのサイバー活動が常に存在していました。 現在、TAG は、営利目的のサイバー犯罪者がこの地域でより多くの活動を行っていると述べています。
2022 年 4 月から 8 月にかけて、TAG は「ロシア政府が支援する攻撃者と密接に連携しているように見える、ウクライナを標的とする金銭目的の脅威アクターの増加」を追跡してきました。 これらの国が支援する攻撃者の 1 人は、CERT (ウクライナの国家コンピューター緊急対応チーム) によって UAC-0098 として既に指定されています。 しかし、TAG の新しい分析は、それを Conti に関連付けています。これは、5 月にサイバー攻撃でコスタリカ政府を閉鎖した多作の世界的なランサムウェア ギャングです。
「複数の指標に基づいて、TAG は UAC-0098 の一部のメンバーが Conti サイバー犯罪グループの元メンバーであり、彼らの技術をウクライナを標的にするために転用していると評価しています」とビューローは書いています。
UAC-0098 として知られるグループは、以前に IcedID として知られるバンキング型トロイの木馬を使用してランサムウェア攻撃を実行していましたが、Google のセキュリティ研究者は、現在は「政治的および財政的動機の両方」に基づくキャンペーンに移行していると述べています。 TAG の分析によると、このグループのメンバーは専門知識を利用して、最初のアクセス ブローカーとして機能しています。ハッカーは、最初にコンピューター システムを侵害し、その後、標的の悪用に関心のある他のアクターにアクセスを売り渡します。
最近のキャンペーンでは、このグループがウクライナのホスピタリティ業界の多くの組織に、ウクライナのサイバー警察を装ったフィッシング メールを送信したり、別の例では、インドのホテルのハッキングされたメール アカウントから送信されたフィッシング メールでイタリアの人道支援 NGO を標的にしたりしていました。鎖。
他のフィッシング キャンペーンでは、Elon Musk の SpaceX が運営する衛星インターネット システム、Starlink の代表者になりすました。 これらの電子メールは、Starlink のシステムを介してインターネットに接続するために必要なソフトウェアを装ったマルウェア インストーラーへのリンクを配信していました。
Conti に関連するグループは、今年 5 月下旬に最初に公開された Windows システムの Follina 脆弱性も悪用しました。 この攻撃やその他の攻撃では、システムが侵害された後に UAC-0098 がどのような行動をとったかは正確には分かっていないと TAG は述べています。
全体として、Google の研究者は、「東ヨーロッパでは、金銭目的のグループと政府が支援するグループとの間の境界線があいまいになっている」ことを指摘しています。
しかし、常に勝つことが保証されている戦略ではありません。 ウクライナ侵攻の開始時に、匿名の個人がグループの内部チャット ログの 1 年分以上へのアクセスを漏らしたとき、コンティはロシアへの支持を公然と宣言した代償を払いました。