ロシアの宇宙機関や国営放送局への攻撃に親ロシアのハッカー集団「Conti」から流出したランサムウェアを改造したものが使われていた

2022年4月11日 13時10分

国際的ハッカー集団のアノニマスはロシアによるウクライナへの軍事侵攻に抗議して、「ロシア政府を標的にした対抗作戦を実行する」と発表しています。そんなアノニマスと提携してロシアの政府機関や企業を攻撃しているハッカー集団「NB65」が、親ロシアのランサムウェアグループ「Conti」から流出したランサムウェアを改造して使っていることが判明しました。

Hackers use Conti's leaked ransomware to attack Russian companies

https://www.bleepingcomputer.com/news/security/hackers-use-contis-leaked-ransomware-to-attack-russian-companies/

NB65はアノニマスと提携しているランサムウェアグループであり、過去1カ月間にわたりロシアの機関を攻撃しています。NB65はロシアへの攻撃についてTwitterで報告しており、過去にはロシアの宇宙機関「ロスコスモス」や……

Greetings. Here's some Friday fun for #Roscosmos to enjoy. Greetz to the homies @ITarmyUA @YourAnonNews and all the #hackers bitch slapping Russia sideways for the last three weeks. Get the fuck out of #Ukraine.

Слава Україні! pic.twitter.com/Ll0jdjtkkZ— NB65 (@xxNB65) March 18, 2022

ロシアの国営放送局である「全ロシア国営テレビ・ラジオ放送会社(VGTRK)」にランサムウェア攻撃を仕掛けています。中でもVGTRKへの攻撃では、90万通もの電子メールと4000のファイルを含む合計786.2GBもの内部データが、非営利の内部告発サイトであるDistributed Denial of Secrets(DDoSecrets)にリークされたと報じられています。

The All-Russian State Television and Radio Broadcasting Company (VGTRK), propaganda branch of the Russian Federation can fuck themselves. @Telecomix is going to have some fun parsing through this. #datalove @YourAnonNews @ITarmyUA Glory to Ukraine! Full dump will be ready soon. pic.twitter.com/3foAOAYBDv— NB65 (@xxNB65) March 25, 2022

そんな中、ファイルやウェブサイトのマルウェア検査を行うウェブサイトのVirusTotalに、NB65が使用されるランサムウェアがアップロードされました。Bleeping ComputerがアップロードされたNB65のランサムウェアのサンプルを調べたところ、ほぼ全てのウイルス対策ベンダーがこのランサムウェアを「Conti」であると判断したそうで、NB65が使うランサムウェアはContiのソースコードと66％が同じであることもわかったそうです。

Contiはロシアによるウクライナへの軍事侵攻が始まった後で親ロシアの方針を掲げる声明を発表しており、これに反発したウクライナ人研究者によって、1年分の内部チャットログやその他のデータが流出させられました。データ流出させた研究者は以前からContiを監視していたそうで、「やつらがクソであることを証明するため」にデータ流出を行ったと述べています。NB65が使っているランサムウェアは、この際に流出したランサムウェアのコードを改造したものというわけです。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE

NB65のランサムウェアでは、暗号化されたファイルの拡張子が「.NB65」になっているほか……

暗号化されたデバイスに表示される「R3ADM3.txt」というメモには、「私たちは非常に注意深く見守っています。あなた方の大統領は戦争犯罪を犯すべきではありません。もし、あなたが今の状況について非難する相手を探しているなら、ウラジーミル・プーチンより他にいません」と、ロシアのプーチン大統領を非難する文章が記されています。

NB65はBleeping Computerの問い合わせに対し、Contiから流出したソースコードに基づいてランサムウェアを作成したことを認めました。ソースコードはContiの復号化機能が利用できないように変更されているそうで、「私たちと連絡を取らずに復号化することはできません」と述べています。

NB65は一連の攻撃について、「ロシアがウクライナでのすべての交戦を停止し、このばかげた戦争を終わらせたら、NB65はロシアのインターネットに面した資産や企業への攻撃をやめるでしょう。それまではクソくらえです。私たちはロシア以外の国を攻撃することはありません。Contiやサンドワーム、ロシアのその他のAPT攻撃グループは、ランサムウェアやサプライチェーン攻撃で何年も西側を攻撃してきました。私たちは、彼ら自身がそれに対処する時期だと考えたのです」と主張しました。