Пресловутая банда вымогателей Conti закрыта, но не навсегда
Группа вымогателей, известная как Conti, официально закрылась, и все ее инфраструктуры отключены.
Хотя это может показаться хорошей новостью, это хорошо только на первый взгляд — Conti не закончилась, она просто разделилась на более мелкие операции.
Conti был запущен летом 2020 года как преемник программы- вымогателя Ryuk . Для распространения он полагался на партнерские отношения с другими вредоносными программами. Вредоносное ПО, такое как TrickBot и BazarLoader, было начальной точкой входа для Conti, которая затем приступила к атаке. Conti оказался настолько успешным, что в конечном итоге превратился в синдикат киберпреступников, который поглотил TrickBot, BazarLoader и Emotet.
За последние два года Conti осуществила ряд громких атак, направленных против городских школ Талсы, Advantech и государственных школ округа Броуард. Conti также удерживала выкуп за ИТ-системы исполнительного органа службы здравоохранения Ирландии и Министерства здравоохранения в течение нескольких недель и отпустила их только тогда, когда они столкнулись с серьезными проблемами со стороны правоохранительных органов по всему миру. Однако эта атака привлекла внимание мировых СМИ к Conti.
Совсем недавно она была нацелена на Коста-Рику, но, по словам Елисея Богславского из Advanced Intel , атака была просто прикрытием того факта, что Conti сворачивает всю операцию. Богуславский рассказал Bleeping Computer , что атака на Коста-Рику была обнародована настолько, чтобы дать членам Conti время перейти к другим операциям с программами-вымогателями.
«Повестка дня совершить нападение на Коста-Рику с целью огласки вместо выкупа была объявлена внутри руководства Conti. Внутренние сообщения между членами группы показали, что запрошенный выкуп был намного меньше 1 миллиона долларов (несмотря на неподтвержденные заявления о том, что выкуп составляет 10 миллионов долларов, за которыми последовали собственные заявления Конти о том, что сумма составляла 20 миллионов долларов)», — говорится в еще не опубликованном документе. отчет Advanced Intel, опубликованный заранее Bleeping Computer.
Окончательный конец Conti был положен открытым одобрением группой России и ее вторжения в Украину. По официальным каналам Conti дошла до того, что заявила, что объединит все свои ресурсы для защиты России от возможных кибератак. После этого украинский исследователь безопасности слил более 170 000 сообщений внутреннего чата между членами группы Conti, а в конечном итоге также слил исходный код шифровальщика банды. Позже этот шифровальщик использовался для атак на российские объекты.
В настоящее время вся инфраструктура Conti отключена, а лидеры группы заявили, что с брендом покончено. Однако это не означает, что члены Conti больше не будут заниматься киберпреступностью. По словам Богуславского, руководство Conti решило разделиться и объединиться с более мелкими бандами вымогателей, такими как AvosLocker, HelloKitty, Hive, BlackCat и BlackByte.
Члены предыдущей банды вымогателей Conti, в том числе аналитики Intel, пентестеры, разработчики и переговорщики, участвуют в различных операциях по киберпреступности, но они по-прежнему являются частью синдиката Conti и находятся под тем же руководством. Это помогает им избегать правоохранительных органов, продолжая проводить те же кибератаки, что и под брендом Conti.
Conti считался одним из самых дорогих и опасных типов программ- вымогателей , когда-либо созданных: за два года работы было собрано более 150 миллионов долларов выкупа. Правительство США предлагает существенное вознаграждение в размере до 15 миллионов долларов за помощь в выявлении лиц, связанных с Conti, особенно тех, кто занимает руководящие должности.