ランサムウェア グループの組織体系や年間収益とは

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループの組織体系や年間収益とは

世界最大級のランサムウェア組織(RaaS)の一つ「Conti」の内部チャット漏えいを精査した研究が、同グループの“企業のような”組織構造とコミュニケーションの実像を描き出しました。

指揮系統、部門編成、役割分担、そして誰が誰とどれくらい話していたのか—膨大な会話ログの定量・定性分析から同グループの体系が浮かび上がってきました。

研究の概要

研究は、Northwave Securityが公開したContiの内部チャット(Jabber中心。Rocket.chatは全体公開型で構造推定に不向きなため除外)を材料に、組織単位・役割の付与役割間の通信量を組み合わせた混合手法で実施されました。対象は16万8,740件のメッセージ/449のユーザーID(一部は同一人物の複数IDの可能性)で、期間は2020年6月21日〜2022年3月1日。方法としては多段階の内容分析で役割を帰属し、その上で部門・機能間のやり取りを定量化しています。

企業のような組織図で分業

研究チームが再構成した組織図では、頂点に組織リーダー「Stern」

配下にHR責任者(“ford”)シニアマネージャ(技術“bentley”/オペレーション“target”)、そして暗号資産ロッカー/開発/オペレーション/技術を担う4人のポートフォリオマネージャが並びます。

さらにキャンペーンエンジニア交渉担当OSINT(“buza”)などの機能が明示されます。主要部門は技術(コーダー/開発者/テスター)オペレーション(侵入実行・支援)HR/管理。研究はコアメンバーとアフィリエイト(提携攻撃者)を区別して分析しています。

以下セキュリティ対策Labで簡略化

ランサムウェアグループの実態-組織体系ロケットボーイズ作成

給料(報酬制度)

Contiの内部運用は「企業然」としており、定期的な給与支払いに加え、業績ボーナスや“リテンション(離職防止)ボーナス”まで備えた人事・報酬制度が整えられていました。就業時間の取り決めや物理オフィスへの言及も見られ、RaaSが単なるゆるやかな犯罪ネットワークではなく、役割分担と人材マネジメントを伴う“組織”として運営されていたことがうかがえます。

誰が、誰と、どれだけ話していたか

通信パターンの可視化では、Stern(リーダー)が全階層と双方向に頻繁に交信していたことが際立ち、形式上は階層的でも実態はフラットに近い運用が示唆されました。


特にHR/管理からSternへの連絡が多く、採用・オンボーディングが技術部門の活動と直結していた点は、正規企業さながらの人材ドリブン運営を示します。
技術部門(コーダー/開発者/テスター)はデータセット最大の発話量を占めつつ、その3〜2割前後をSternに直接送信アフィリエイトもSternや上層部と直通で、ペイロード投入の支援や支払い・資金移動を依頼する場面が見られました。


マネジメント層は発信85,008件(シニア)/19,480件(中間)と突出して活動的で、技術部門への送信が最多。Sternはコーダー>開発者>テスターの順に多く発信しており、攻撃実装の中核である“作る人”への依存が強い構図です。

RaaSグループ全体の年間収益

本論文が取り上げるRaaSグループ「Conti」は、2021年の年間収益が約1億8千万ドルに達したと推定されており、当時のランサムウェア諸グループの中で最大規模と位置づけられますこの数値は、Contiが2020年初頭から2022年半ばまで継続的に活動し、多様な業種を標的にした大規模作戦を展開していた実態とも符合します。

RaaSグループの平均生存期間

本論文をもとにContiは2020年初頭に登場し、2022年半ばに解体に至ったことが明記されています。つまり代表的な大規模RaaSでさえ“およそ2年強”のライフサイクルで再編・消滅し得ることが読み取れます

出典

Whelan, C., Martin, J., Bright, D. 他, “The internal structure of ransomware criminal groups: an analysis of organisational units, functions, roles and communication patterns within Conti.”(分析対象・方法、組織図、通信パターン、示唆・限界の各記述は当該論文に基づく)