REvil може и вече да са в историята, но киберпрестъпната сцена, подобно на природата, не търпи празно пространство. На същата тази сцена изгря „звездата“ на Conti.

Разполагаща със сериозни ресурси, стройна организация и техническа експертиза, групата на Conti трупа нарастваща популярност, заради огромния брой успешни атаки. По-рано тази година, те настроиха част от киберпрестъпния свят срещу себе си, след като взеха страната на Кремъл във войната в Украйна. Това доведе до Conti Leaks – хакерска операция срещу рансъмуер групата, довела до изтичането на множество данни за групата. Според специалисти, това е довело до разпускането на групата, но подобно на примери с временното изчезване на подобни криминални структури, и Conti едва ли ще са за дълго в нелегалност. В края на миналата година те са провели своя собствена операция, при която са били атакувани успешно 40 организации само за месец.

За случая разказва базираната в Тайланд компания за киберсигурност Group-IB, които са кръстили акцията на Conti ARMattack. Тя се провежда от 17-ти ноември до края на декември миналата година, но информация за нея излиза едва сега. Основната част от техните жертви се намират в САЩ, но в списъка със засегнатите бизнеси се откриват имената на компании в Европа, Индия и Обединените арабски емирства.

Краят на миналата година е започнал по сходен начин през 2022, разкриват Group-IB, посочвайки, че само за първите четири месеца на тази година те са пленили и публикували данните на 156 фирми. Както вероятно си спомняте, Conti Group действат по метода на двойното изнудване, като след проникването в мрежата на жертвата си, те търсят информация, която може да се окаже чувствителна за компанията, копират я на своите сървъри, след което криптират данните. Едно от настоящите разкрития посочва, че най-бързо осъществения набег на Conti в операция ARMattack се е провела едва за три дни – от първоначалния достъп до криптирането на информацията. Group-IB отдават ефективността на работата на Conti на факта, че според тяхна информация, членовете ѝ работят по 14 часа на ден. Според авторите на доклада, общо за двете си години съществуване, Conti са успели да пробият мрежите на поне 859 организации, като реалния брой засегнати се счита, че е далеч по-голям.

От споменатото изтичане на данни от мрежата на Conti става ясно, че бандата е действала не като хакерска група, а като APT (advanced persistent threat) група, със стройна йерархия и организация, включваща разработчици, пентестъри, OSINT специалисти, администратори, хора, занимаващи се с проверка на качеството, група за реверсивно инженерство, блокчейн специалист и даже своеобразен HR отговорник, който е вербувал хакери за Conti. Според Group-IB, за времето на своето съществуване, групата е платила над $6 000 000 за заплати.

„Рансъмуер атаките не са вече игра между средно умели разработчици на зловреден код, а престъпна RaaS (ransomware-as-a-service, „рансъмуер, като услуга“ – има се предвид модела, при който престъпни групи, като Conti и REvil предоставят достъп до кода и инфраструтурата си в замяна на процент от откупа, който партньорите им вземат от жертвите си – б.а.) индустрия, която дава работа на хиляди киберпрестъпници с различни специализации по целия свят. В тази индустрия Conti представляват опасен играч, който по същество е създал IT компания, чиято цел е да извлича чрез изнудване огромни суми пари. Компанията ще продължи своето съществуване, независимо дали ще са сами или с помощта на техни странични проекти“, смята Иван Писарьов, завеждащ операциите по динамичен анализ на зловреден код в Group-IB.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари