Check Point Software Technologiesは3月10日(米国時間)、「Check Point Research Reveals Leaks of Conti Ransomware Group - Check Point Software」において、今後猛威を振るう可能性が高いマルウェア「Conti」について、その開発・運用を行っている組織の詳細情報を公開した。Contiはロシアのウクライナ進攻を支持しているとされており、この行動に意義を唱える内部関係者が流出したデータを分析した結果とされている。分析結果はContiが通常の大規模なテクノロジー企業と同様な形態で運営されている様子が示されている。
報告書に掲載されている主な内容は次のとおり。
- 複数の物理的な事務所を保有している。2020年8月にはマルウェア感染の担当者の管轄でシステム管理者およびプログラマのために事務所が追加で開設されている。
- 組織は管理職、人事部門、プログラミング部門、試験部門、暗号化部門、システム管理部門、リバースエンジニアリング部門、攻勢部門、OSINT部門、交渉部門などで構成されている。
- 新規雇用にはheadhunter.ruといったヘッドハンティングサービスが使われるほか、アンダーグラウンドからも募集される。開発者の採用に関しては直接履歴書プールにアクセスして候補者に直接メールでコンタクトを取るなどして行われている。
- 従業員の中には自分がサイバー犯罪組織に従事していることを認識していない者もいる。オンライン面接では、この企業ではすべてが匿名であり、主な事業内容は脆弱性の有無をチェックする侵入テスト(ペネトレーションテスト)を行うことだと説明されることがある。
- 人事部門では毎月の賞与、罰金、月間最優秀社員賞、業績評価などが実施されている。従業員は地元の労働委員会で保護されていないため不利益を被ることがある。プログラミング部門で罰金が課されることが多いが、管理者の気まぐれで従業員に罰金が課されることもある(入金担当が入金を怠って100ドルの罰金を課されるなど)。
- 交渉部門およびOSINT部門の給与は、支払われた身代金の0.5%から1%の割合で計算される金額が支払われる。プログラマ部門と管理職は月に1、2回のペースでビットコインによって支払いが行われる。
- 従業員の中にはTrickbotマルウェアの元開発メンバーがいる。
- Contiは今後の事業計画としてグループ独自のエコシステムで暗号取引所を開設すること、ダークソーシャルネットワーク「VK for darknet」または「Carbon Black for hackers」を商用プロジェクトとして展開することなどを検討している。
報告書では、Contiが通常のテック企業と変わらない構造で運営されている実態のある企業である様子が示されている。永続性のある組織であるように見え、今後長期にわたって活動が行われる可能性がある。