Odborníci odhaľujú tajomstvá skupiny Conti Ransomware, ktorá zarobila 25 miliónov obetí

Po zverejnení podrobností o vnútornom fungovaní gangu a jeho členoch zlyhali platobné portály clearnet a dark web, ktoré prevádzkuje skupina Conti ransomware, čo sa javí ako pokus o prechod na novú infraštruktúru.

Podľa MalwareHunterTeam „zatiaľ čo sú obe domény clearweb a Tor stránky úniku ransomvérového gangu Conti online a fungujú, ich domény clearweb aj Tor pre platobnú stránku (ktorá je samozrejme dôležitejšia ako únik) sú mimo prevádzky.“

Nie je jasné, čo viedlo k odstaveniu, ale vývoj prichádza, keď švajčiarska firma PRODAFT v oblasti kybernetickej bezpečnosti ponúkla bezprecedentný pohľad na model skupiny ransomware-as-a-service (RaaS), v ktorom vývojári predávajú alebo prenajímajú svoju ransomvérovú technológiu pridruženým spoločnostiam najatým z darknetu. fóra, ktoré potom v ich mene uskutočňujú útoky a zároveň započítavajú približne 70 % z každej platby výkupného vynútenej od obetí.

Výsledok? Doposiaľ boli identifikovaní traja členovia tímu Conti, z ktorých každý hrá rolu správcu („Tokio“) a asistenta („[email protected][.]jp”) a recruiter (“IT_Work”) na prilákanie nových pridružených spoločností do ich siete.

Zatiaľ čo ransomvérové ​​útoky fungujú tak, že zašifrujú citlivé informácie obetí a zneprístupnia ich, aktéri hrozieb čoraz viac využívajú dvojakú stratégiu nazývanú dvojité vydieranie, aby požadovali výkupné za dešifrovanie údajov a vyhrážali sa verejným zverejnením ukradnutých informácií, ak platba nebola prijatá v určitom termíne.

„Zákazníci Conti – pridružení aktéri hrozieb – využívajú [a digital] riadiaci panel na vytváranie nových vzoriek ransomvéru, spravovanie ich obetí a zhromažďovanie údajov o ich útokoch,“ poznamenali výskumníci, ktorí podrobne opísali reťazec útokov syndikátu s využitím PrintNightmare (CVE-2021-1675, CVE-2021-34527 a CVE-2021- 36958) a FortiGate (CVE-2018-13374 a CVE-2018-13379) zraniteľnosti na kompromitáciu neopravených systémov.

Conti, ktorý sa objavil na poli počítačovej kriminality v októbri 2019, je považovaný za dielo ruskej skupiny pre hrozby s názvom Wizard Spider, ktorá je tiež prevádzkovateľom neslávne známeho bankového malvéru TrickBot. Odvtedy najmenej 567 rôznych spoločností zverejnilo svoje dôležité obchodné údaje na stránke obete, pričom kartel ransomvéru získal viac ako 500 bitcoinov (25 USD).5 miliónov) v platbách od júla 2021.

A čo viac, analýza vzoriek ransomvéru a adries bitcoinových peňaženiek používaných na prijímanie platieb odhalila spojenie medzi Conti a Ryukom, pričom obe rodiny silne investovali do TrickBot, Emotet a BazarLoader, aby skutočne doručili dáta na šifrovanie súborov do sietí obetí. prostredníctvom e-mailového phishingu a iných schém sociálneho inžinierstva.

PRODAFT uviedol, že sa mu tiež podarilo získať prístup k službe obnovy skupiny a k panelu správy správcu, ktorý je hosťovaný ako skrytá služba Tor na doméne Onion, čo odhaľuje rozsiahle podrobnosti o webovej lokalite clearnet s názvom „contirecovery“.[.]ws”, ktorý obsahuje pokyny na nákup dešifrovacích kľúčov od pridružených spoločností. Zaujímavé je, že vyšetrovanie procesu vyjednávania o ransomvéri spoločnosti Conti, ktoré minulý mesiac zverejnil Team Cymru, poukázalo na podobnú otvorenú webovú adresu URL s názvom „contirecovery[.]Info.”

„Aby sme sa mohli vysporiadať s komplexnou výzvou narušenia kyberzločineckých organizácií, verejné a súkromné ​​sily musia navzájom spolupracovať, aby lepšie pochopili a zmiernili širší právny a komerčný dopad hrozby,“ uviedli vedci.

Aktualizácia: Platobné portály Conti ransomware sú opäť v prevádzke, viac ako 24 hodín po tom, čo boli prvýkrát odstránené v reakcii na správu, ktorá identifikovala skutočnú IP adresu jedného z jeho obnovovacích (aka platobných) serverov — 217.12.204[.]135 — čím účinne posilní svoje bezpečnostné opatrenia.

“Zdá sa, že Európania sa tiež rozhodli opustiť svoje spôsoby a ísť naplno a jednoducho sa pokúsiť rozbiť naše systémy,” uviedol gang vo vyhlásení zverejnenom na svojom blogu, čím účinne potvrdil zistenia spoločnosti PRODAFT, no detaily charakterizoval ako “jednoduchú dezinformáciu”. a že “uvedených 25 kk, ktoré sme ‘vyrobili od júla’, je priamočiara BS – zarobili sme najmenej okolo 300 kk.”