Join
hackerplace.org
@hackerplace_org
January 24, 2023

Conti - одна из самых агрессивных и успешных хакерских группировок

Всем салют, дорогие друзья!
Сегодня, по просьбе одного из наших подписчиков, мы расскажем об одной из самых агрессивных и успешных хакерских группировок - Conti.

Мы считаем, что Conti является наиболее успешной хакерской группировкой последних двух лет. Только за апрель 2022 года она смогла скомпрометировать около 40 компаний по всему миру. Ни один другой оператор шифровальщика не может похвастать подобной результативностью.

Усаживайтесь поудобнее, будет интересно!

Познакомимся поближе

Conti - русскоязычная хакерская группировка, использующая в своем арсенале одноименную программу-вымогатель. С помощью программы в первом квартале 2021 года совершалась каждая десятая атака такого типа.

Conti использует бизнес-модель ransomware-as-a-service (RaaS) - разработчики малвари занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют устройства. В итоге выплаты выкупов распределяются между самой группировкой и ее «партнерами», причем последние обычно получают 70-80% от общей суммы. Хотя некоторые платежи за выкуп исчисляются миллионами, по оценкам Coveware, среднее требование членов Conti составляет чуть более 765 000 долларов.

В состав Conti входят люди, на которых возложены различные обязанности, включая кодировщиков вредоносных программ, тестировщиков, системных администраторов и "кадровых" сотрудников, которые занимаются приемом на работу, а также переговорщиков, которые работают с жертвами и пытаются добиться выплаты шантажа.

Conti известна своей разрушительной кибератакой, совершенной в 2020 году, когда под ударом оказались16 медучреждений в США. В мае 2022 года правительство США предложило вознаграждение 10 миллионов долларов за информацию о группе. Но и это не предел!

25 июля Государственный департамент США увеличил награду до $15 млн за сведения, позволяющие идентифицировать хакеров и определить местонахождение участников и руководства Conti.

Conti - авторы крупнейшей кибератаки 2022 года

Хотели бы подробнее остановится на одном из недавних кибератак группировки. Она примечательна тем, что в ходе нее хакеры смогли довести целое государство до режима чрезвычайного положения.

Хотели бы заметить, что информации о Conti в сети чрезвычайно мало, поэтому в истории могут быть пробелы, но мы старались анализировать все возможные источники.

18 апреля 2022 года министерство финансов Коста-Рики первым сообщило об атаке со стороны русских хакеров-вымогателей. Были парализованы сразу несколько процессов: система сбора налогов, импорт и экспорт. Следующими целями хакеров Conti стали система управления социальным обеспечением и министерство труда.

Всего от атак российской группировки за несколько апрельских дней пострадали шесть подразделений государственной важности. Профсоюз экспортеров оценил ущерб в $200 миллионов. Также была остановлена система, которая отвечает за выплату зарплат и пенсий всем госслужащим Коста-Рики. За время атаки хакеры Conti слили в сеть 670 гигабайт стратегических данных. Через некоторое время их будут использовать уже другие злоумышленники для атак.

Русские хакеры просили всего $10 миллионов за то, что они не будут шифровать правительственные системы и сливать в открытый доступ сотни гигабайт конфиденциальных данных. Уходящий глава государства, Карлос Альварадо, наотрез отказался платить киберпреступникам из России. Он только добился получения помощи от США, Израиля и других стран. Справиться с корнем проблемы, заплатив русским хакерам, он не посчитал нужным.

К началу мая атаки стали распространяться еще и на институты, фонды и электроэнергетические компании. Ущербы росли, а Карлос Альварадо благополучно ушел с поста главы государства, передав полномочия Родриго Чавесу. Русским хакером не понравилось бездействие властей Коста-Рики, и они решили увеличить сумму выкупа до $20 миллионов. Уже 10 мая в стране был введен режим ЧП.

  • Вот, что по этому поводу говорили сами Conti:
«Почему просто не купить ключ? Не знаю, бывали ли еще случаи введения чрезвычайного положения в стране из-за кибератаки? Через неделю мы удалим ключи шифрования для Коста-Рики. Я обращаюсь ко всем жителям и к вашему правительству, организуйте митинги, чтобы они заплатили нам как можно скорее. Если ваше правительство не способно стабилизировать ситуацию? Может, тогда его следует сменить?»
«Просто заплатите, пока не поздно. Вашу страну разрушили два человека, мы намерены свергнуть правительство с помощью кибератак, мы уже продемонстрировали вам свою мощь и силу, вы даже ввели чрезвычайное положение», – писали хакеры в своих обращениях.

К двадцатым числам мая атаки прекратились, но Коста-Рика получает ущерб по сей день, потому что были затронуты важнейшие системы страны.

Распад группировки Conti

20 мая 2022 года хакеры Conti заявили о прекращении своей деятельности и отключении вымогательской инфраструктуры. Однако, мы считаем, что атака на Коста-Рику была больше имиджевой, чем денежной историей. Хакеры имели цель навести шуму и прорекламировать себя.

«Мы не можем выиграть войну технологий, потому что на этой арене мы конкурируем с компаниями-миллиардерами, но мы можем победить человеческий фактор» - сказали Conti
  • В данный момент бывшие члены Conti создали ряд автономных групп, которые будут заниматься кражей данных:
  1. Первая группа «Silent Ransom Group (SRG)» с мая атаковала как минимум 94 организации, сосредоточившись только на краже данных и вымогательстве у жертв. Группа уделяла большое внимание организациям в секторе здравоохранения с годовым доходом от $500 тыс. до более $100 млрд., почти 40% из них имеют доход выше $1 млрд.
  2. Вторая группа «Quantum» в середине июня 2022 года начала использовать свою версию BazarCall в кампании «Jörmungandr» (Змей Мидгард). Хакеры наняли людей, специализирующихся на рассылке спама, OSINT, дизайне и операторах колл-центра. Quantum была нацелена на 5 крупных компаний с годовым доходом более $20 млрд., большинство из которых работают в секторе здравоохранения.
  3. Третья группа «Roy/Zeon», хакеры которой участвовали в создании вымогателя Ryuk, используя методы социальной инженерии, атакует компании с высоким годовым доходом или из чувствительных отраслей.
  • Некоторые из участников уже перешли в существующие группировки, такие как: HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и другие.

Лакомая добыча американских властей

12 августа 2022 года правительство США опубликовало фотографию предполагаемого члена известной группы кибервымогателей Conti.

Государственный департамент объявил о награде через аккаунт программы Rewards for Justice в Твиттере , заявив, что ищет информацию о киберпреступниках, связанных с Conti, Wizard Spider или Trickbot.

В сообщении говорится, что награду в размере 10 млн долларов получит любой, приславший сведения, позволяющие идентифицировать киберпреступников с псевдонимами «PROFESSOR», «RESHAEV», «TRAMP», «DANDIS» и «TARGET». В объявлении также находится фотография мужчины, который предположительно участвовал в деятельности банды под псевдонимом «TARGET».

Как мы писали выше, государственный департамент США увеличил награду до $15 млн за сведения, позволяющие идентифицировать и определить местонахождение участников и руководства Conti.

Кроме того, американские власти пообещали выплатить $5 млн за данные, которые позволят арестовать лица, пребывающие в сговоре с группировкой или пытающихся участвовать в ее деятельности.

January 24, 2023, 13:48
0 views