「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出

ロシアを拠点とするランサムウェア攻撃グループ「Conti」の親ロシアな方針を受けて憤った親ウクライナ派のセキュリティ研究者が内部チャットのログ1年分を入手し、「ウクライナに栄光あれ」というメッセージとともにジャーナリストやサイバーセキュリティ研究者に送りつけました。

Conti ransomware gang chats leaked by pro-Ukraine member - The Record by Recorded Future
https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/

Conti ransomware's internal chats leaked after siding with Russia
https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/

Ukrainian Researcher Leaks Conti Ransomware Gang Data
https://www.databreachtoday.com/ukrainian-researcher-leaks-conti-ransomware-gang-data-a-18620

Pro-Russia Conti Ransomware Gang Targeted, Internal Chats Leaked
https://www.vice.com/en/article/z3ng84/pro-russia-conti-ransomware-messages-leaked

ランサムウェア攻撃グループのContiが内部チャットのログを盗み出されたのは、今回のウクライナ侵攻に際してリーダーが「ロシア政府を正式にサポートする」という方針を定めたことがきっかけ。当時の発表では、ウクライナに対するサイバー攻撃を支援するほか、ロシアに対するサイバー攻撃を行った組織が現れた場合には、この組織の重要インフラストラクチャに対して反撃を行うという宣言が行われました。

しかし、親ウクライナ派の何者かが上記の宣言を「いかなる政府とも手を組まない」「現在進行中の戦争を非難する」と書き換え……

さらに2021年1月29日～2022年2月27日の全チャットログをジャーナリストやサイバーセキュリティ研究者に送りつけました。このチャットログが届いたというマルウェア研究グループのvx-undergroundによると、送付されたログには「ウクライナに栄光あれ！」というメッセージが同封されていたとのこと。この流出者については報道によって「Contiのウクライナ部署」「ウクライナのセキュリティ研究者」と割れていますが、真相は不明。いずれにせよ「Contiの内部情報にアクセスできる何者か」とされています。

このチャットログはContiが用いていたXMPPサーバーのデータベースから抜き出されたもので、セキュリティ企業いわく「本物」とのこと。Contiは2020年7月に操業を開始したため、流出したチャットログが全てではありませんが、20カ月にわたる活動のうち13カ月を網羅しています。

チャットログの内容は多岐にわたるもので、被害者とのやりとりや運営に関する議論、特定のエクスプロイトに関する話題にくわえて、ボットネット「TrickBot」やサイバー犯罪者グループ「Emotet」とのやりとりや、ビットコインウォレットのアドレス、CarbonBlackやSophosなどのセキュリティ企業のツールを突破しようと模索する会話などが含まれており、各国の法執行機関に大きく利するものだと報じられています。