xnx8888@com Conti 令人印象深刻的攻击能力和盈利能力使其成为有史以来最成功的勒索软件组织,经常向受害者组织索要数百万美元的赎金。之所以如此成功,是因为与其他勒索软件公司相比,Conti 专注于年收入超过1 亿美元的公司。
图片来源:Chainaanalysis
与此同时,孔蒂本人也加入了该集团,收入过亿。根据加密货币追踪公司Chainaanalysis 最新发布的《加密货币犯罪报告》 数据显示,Conti 去年的收入至少为1.8 亿美元。孔蒂的成功并非偶然;作为一个犯罪组织,它也像一个不发达的企业,竭尽全力地管理和运作,以最大限度地发挥其杀伤力。
内部勒索软件组织表示:安全验证极其重要。 2月27日,乌克兰一名网络安全研究人员泄露了孔蒂近两年的内部聊天记录,显示人数从65人到100人不等。我们每个月花费数千美元购买大量的安全和防病毒软件。 Conti 搜索并使用这些软件工具来持续验证每个产品的攻击有效性和内部安全性。 2021 年8 月8 日的聊天记录显示,他的老板Resyaev 先生每周秘密检查下属的PIN 码活动,并在每个管理员的计算机上安装端点检测和响应(EDR) 工具,并确保网络管理员的安全。网络管理员没有参与任何活动。干扰我们集团运作的行为。除了每周检查服务器上的管理员活动并在每台机器上安装EDR(Sentinel、Cylance、CrowdStrike 等)之外,Reshaev 还建立了更复杂的存储系统,包括在每台机器上安装LSAS 堆栈并保证唯一。一个活跃帐户,将您的安全软件更新到最新版本,并在所有网络上安装防火墙。
Conti 的经理很清楚,他们的员工正在处理从公司窃取的高度敏感且有价值的数据,这些信息在地下网络犯罪论坛上出售。然而,要赢得欺诈者经营的公司的信任是很困难的。 “你在监视我,你不相信我吗?”中级成员拜奥在处理巨额比特币转账赎金时意识到他的经理特朗普正在监视他,我表达了不满。但特朗普却极其不屑。 “一个以前从未见过很多钱的人怎么会突然被完全信任看到很多钱呢?我在这里工作了15年,我已经习惯了。”
信息是一种资产。使用开源情报来支付信息费用。 Conti 在开源情报工具(OSINT) 上投入了大量资金。例如,我们订阅了许多服务,这些服务可以帮助我们确定特定IP 地址的用户身份,或者查看某个IP 地址是否与已知的虚拟专用网络(VPN) 服务相关联。平均而言,Conti 每天会访问数以万计的被黑端点,这些OSINT 服务充当过滤器,使Conti 能够专注于大型企业网络内的受感染系统。 Conti 的开源情报业务还包括商业服务,帮助Conti 在与受害公司的赎金谈判中获得优势。孔蒂先生经常将赎金要求定为受害公司年收入的一定比例,并骚扰拒绝参与或谈判的公司董事和投资者。 2021 年10 月,Conti 成员Brad Rush 告诉他的经理Bentley,Crunchbase Pro 和Zoominfo 服务可以提供数百万家公司的详细信息,包括他们拥有的保险金额,因此他表示迫切需要订阅该服务。盈利预测、管理层和董事的联系信息等。
在去年的一个长期项目中,Conti 投资了60,000 美元来获得Cobalt Strike 的许可,这是一种商业网络渗透测试和侦察工具,仅出售给选定的合作伙伴。网络犯罪组织经常利用被盗或非法获得的“Coba”许可证在目标系统上安装勒索软件。该预算中只有3 美元代表了Cobalt Strike 许可证的实际成本,另一半则流向代表Conti 秘密购买许可证的合法公司。同样,Conti 的人力资源部门每月花费数千美元订阅众多招聘网站,Conti 的人力资源部门在这些网站上审查潜在员工的简历。在给Sterntask 总监的一份备忘录中,Conti 人力资源专家Salamandra 解释了Conti 就业平台的付费访问方式,并表示她在该平台上查看了25-30% 的相关简历。 Conti 有一个专门的预算分配部门,名为Reverser,负责发现和利用各种硬件、软件和云服务中的新安全漏洞。 2021 年7 月7 日,斯特恩命令该部门的员工Cactus 开始针对微软最新的操作系统Windows 11。
依赖“第三方”来支付赎金的合作伙伴对于企业的成功至关重要。 Conti 泄露的聊天记录似乎包括多次内部讨论,内容涉及各种勒索软件受害者应支付的赎金金额。来自多个第三方的支持。总部位于密尔沃基的网络情报公司Hold Security 于3 月初在Twitter 上发布了对话截图,其中Conti 的成员聘请记者撰写有关受害公司要求他们支付赎金的报道,他声称自己可以施加压力。根据Conti成员Alarm 2021年3月30日的聊天记录,第三方记者可以获得5%的补偿。
还有第三方公司协助受害公司支付加密赎金,Conti 团队与这些第三方“中介”公司的几名员工建立了良好的关系。孔蒂的中层经理曼戈是一名罗马尼亚人,曾在一家加拿大“经纪”公司工作,他表示这位在集团内给自己起绰号的谈判代表也是——“西班牙人”。孔蒂先生在与勒芒(一家大型体育用品零售商)的勒索谈判中索要100 万美元的赎金。根据2021 年10 月7 日的聊天记录,谈判代表表示他的客户最多可以支付20 万美元,并敦促孔蒂重新考虑赎金金额。许多企业购买网络安全保险来弥补勒索软件攻击造成的损失。日志显示,康蒂对这些受害公司的态度很矛盾。一方面,保险公司的赔付限额限制了他们索要大额赎金的能力,而受保受害公司通常会在赔偿谈判中迅速做出决定。
只有聚焦重点,才能立于不败之地。孔蒂先生并没有给他的目标公司留出出路。换句话说,他们是最早向受害企业收取两笔赎金的。将其替换为解锁受感染系统所需的数字密钥,并确保被盗数据被销毁且不会被发布或出售。孔蒂先生向受害公司提供了一个暗网链接,页面上有倒计时器。未能在计时器归零之前协商付款的受害者公司将自动在Conti 的博客上发布其内部数据。双重勒索的好处在于,即使受害者拒绝付费获取密钥,他们仍然可能付费以保证数据安全。
综上所述,在一场无声的网络战争中,孔蒂先生绝对是胜利的将军。孔蒂内部聊天记录的泄露也让我们得以一窥这个强大的犯罪集团的成功秘诀。显然,康蒂在产品精化、内部安全、目标分析、情报收集、合作伙伴、勒索谈判等各个领域都最大限度地发挥了人力物力。企业必须时刻做好应对勒索软件组织可能使用的策略的准备。作为勒索软件组织,Conti收集了市场上的各种安全软件来验证攻击的有效性。那么使用安全软件作为铠甲的企业如何验证其防护的有效性呢?作为中国领先的安全指标验证平台,Sesun Verification使用真实的自动化攻击脚本来持续验证安全防御的有效性。世森安全实验室拥有业界顶尖的安全分析团队,为客户提供互联网上最新、最经典的APT攻击技术采集,全天候追踪互联网黑客组织和漏洞,提供第一手情报,快速恢复攻击技术。为未受影响的企业提供验证手段。
对于企业来说,Sesun Verification不仅是攻击情报的来源,更是值得信赖的合作伙伴。我们帮助公司迈出第一步,了解自己和敌人并制定战略。这使得企业能够做出适当的响应、提前计划并为网络安全创建新的防线。 | 来源:krebsonsecurity.com
