xnx8888@com Conti 网络犯罪团伙运营着最激进的勒索软件行动之一,组织严密,其附属机构在短短一个多月的时间里就渗透到了40 多家公司。安全研究人员将这次黑客活动称为“ARM 攻击”,并将其描述为该组织“最有成效”和“最有效”的行动之一。
ARM Attack Blitz 网络安全公司Group IB 的研究人员表示,Conti 的“最有成效的活动”之一发生在去年2021 年11 月17 日至12 月20 日期间。他们在事件响应工作中发现了该组织长达一个月的黑客活动,并根据暴露该团伙基础设施的域将其称为ARM 攻击。活动期间,Conti Affiliates 成功入侵了跨越广泛地理区域和各种活动的40 多个组织,其中重点关注的是美国公司。 Group-IB 发言人表示ARM 攻击非常迅速,并解释说该公司的报告指的是网络受到损害的组织。目前尚不清楚是否有受害者支付了袭击者所要求的赎金。值得注意的是,Conti泄密网站在短短一个月内(例如2022年4月)公布了多达46名受害者的数据,但泄露日期仍未知。据Group-IB 称,从最初访问到加密组织系统,最短的成功Conti 攻击仅用了三天时间。 “在获得对公司基础设施的访问权限后,攻击者可以提取某些文档(最常见的是识别与他们有业务往来的组织)和包含密码(纯文本和加密)的文件。最后,在获得所有必要的权限后,黑客获得了对所有感兴趣设备的访问权限,并在所有设备上部署并执行了勒索软件。”- Group-IB
“办公”时间Group-IB 使用从公共来源收集的数据(例如从该团伙泄露的内部聊天日志)分析了孔蒂的“办公”时间。据研究人员称,Conti会员每天工作时间约为14小时(不包括年末和新年假期),他们的日程安排是在设计时考虑到效率的。 IB 组表示,各团队开始工作到中午,晚上9 点后撤退。研究人员进一步发现,该组织的运作就像一个合法的企业,其个人负责寻找工人、进行研究和开发、执行OSINT 工作、提供客户支持等等。 Conti 保持领先地位的努力包括监控Windows 更新和分析新补丁更改,以及发现可用于攻击的零日漏洞和新发现的包含性虐待的安全漏洞。动态恶意软件分析主管Ivan Pisarev 表示:“Conti 的活动和数据泄露事件的增加表明,勒索软件不再只是普通恶意软件开发人员之间的游戏,而是为全球各个专业领域的数千名网络犯罪分子提供工作的非法企业。团队,IB 组威胁情报团队。
在勒索软件游戏中,Conti 目前是攻击频率排名前三的勒索软件团伙之一,根据2022 年第一季度收集的数据,今年排名第二,仅次于LockBit。自该团伙被曝光以来,Conti 勒索软件攻击的受害者名单尚未支付给威胁行为者,但实际数字可能要高得多,因为它仅基于该组织泄露网站上发布的数据。仅看这些数字,Conti 平均每月都会发布从至少35 个不支付赎金的组织中窃取的数据。第一次Conti 勒索软件攻击可以追溯到2019 年12 月下旬。据Group-IB 称,该恶意软件的早期测试版本已追踪至2019 年11 月。最近发生了最臭名昭著的Conti 攻击之一,对哥斯达黎加多个政府机构的系统进行了加密,并导致该国总统宣布国家紧急状态。尽管最近出现了一些聊天和源代码泄露的情况,Conti 仍在继续盈利,几乎没有破产的迹象。该组织通过与其他勒索软件运营商(HelloKitty、AvosLocker、Hive、BlackCat、BlackByte、LockBit)合作以及收购TrickBot 等网络犯罪业务来继续扩大业务。尽管采取了这些发展业务的措施,Conti 团队领导人在5 月份宣布该品牌将不再存在,其后端基础设施将被下线。研究人员表示,支付和数据泄露网站仍在运行,但这样做是为了表现出功能正常的样子。然而,该组织仍然存在,孔蒂的领导层与较小的勒索软件团伙合作实施攻击,试图将其分解为较小的组织,而不是将其重新命名为大规模行动。这使得经验丰富的网络犯罪分子能够传播到其他勒索软件操作,同时保持对Conti Group 的忠诚。
孔蒂已经成为一个巨大的威胁,以至于美国政府悬赏高达1500 万美元,奖励那些能够识别和定位该组织关键成员的信息。
