Conti Inc.: Understanding the Internal Discussions of a large Ransomware-as-a-Service Operator with Machine Learning

要約

Ransomware-as-a-service (RaaS) は、ランサムウェア攻撃の規模と複雑さを増大させています。
RaaS の背後にある内部操作を理解することは、そのような活動が違法であるため、困難でした。
国際舞台で最も悪名高いランサムウェア オペレーターの 1 つである Conti RaaS オペレーターの最近のチャット漏洩は、そのような組織の内部動作をより深く理解する重要な機会を提供しています。
このペーパーでは、自然言語処理 (NLP) や潜在ディリクレ割り当て (LDA) などの機械学習技術と視覚化戦略を使用して、Conti チャット リークの主要なトピックの議論を分析します。
1) ビジネス、2) 技術、3) 内部タスク/管理、4) マルウェア、5) カスタマー サービス/問題解決の 5 つのディスカッション トピックがあります。
さらに、コンティ メンバー間のトピックの分布を見ると、専門的な議論をしている人はわずか 4% であるのに対し、ほぼ全員 (96%) はオールラウンダーであることがわかります。これは、彼らの議論が 5 つのトピックを中心に展開していることを意味します。
この結果は、コンティの議論のかなりの部分がテクノロジー関連ではないことも示しています。
したがって、この調査は、このような大規模な RaaS 運用を実行するには、管理から顧客サービスや問題解決に至るまで、さまざまなタスクに個人が関与する、技術的能力を超えた熟練した労働力が必要であることを強調しています。
ディスカッションのトピックは、Conti RaaS oper5086933ator の背後にある組織が大企業と類似点を共有していることも示しています。
RaaS はサイバー犯罪業界の専門化の一例ではあるものの、1 つのトピックに特化しているのは少数のメンバーだけで、残りのメンバーが RaaS の運用を実行および調整していると結論付けています。

要約(オリジナル)

Ransomware-as-a-service (RaaS) is increasing the scale and complexity of ransomware attacks. Understanding the internal operations behind RaaS has been a challenge due to the illegality of such activities. The recent chat leak of the Conti RaaS operator, one of the most infamous ransomware operators on the international scene, offers a key opportunity to better understand the inner workings of such organizations. This paper analyzes the main topic discussions in the Conti chat leak using machine learning techniques such as Natural Language Processing (NLP) and Latent Dirichlet Allocation (LDA), as well as visualization strategies. Five discussion topics are found: 1) Business, 2) Technical, 3) Internal tasking/Management, 4) Malware, and 5) Customer Service/Problem Solving. Moreover, the distribution of topics among Conti members shows that only 4% of individuals have specialized discussions while almost all individuals (96%) are all-rounders, meaning that their discussions revolve around the five topics. The results also indicate that a significant proportion of Conti discussions are non-tech related. This study thus highlights that running such large RaaS operations requires a workforce skilled beyond technical abilities, with individuals involved in various tasks, from management to customer service or problem solving. The discussion topics also show that the organization behind the Conti RaaS oper5086933ator shares similarities with a large firm. We conclude that, although RaaS represents an example of specialization in the cybercrime industry, only a few members are specialized in one topic, while the rest runs and coordinates the RaaS operation.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google