Блог компании Positive Technologies | Взлет и падение вымогателей Conti

В конце 2019 года на киберпреступном небосклоне зажглась новая яркая звезда – возникла банда вымогателей Conti, одна из самых агрессивных и успешных группировок нашего времени.

От рук киберпреступников пострадали 850 организаций из самых разных отраслей, многочисленные госведомства и даже целое государство.

Начало

Conti — русскоязычная группировка, использующая в своем арсенале одноименную программу-вымогатель. Киберпреступники проникают в IT-системы компаний, зашифровывали все находящиеся в них данные, а затем требовали выкуп за возобновление доступа к информации.

Эксперты Group-IB обнаружили первые упоминания о Conti в феврале 2020 года. При этом тестовые версии вредоносной программы датируются еще ноябрем 2019-го.

Банда Conti использует бизнес-модель «вымогательское ПО как услуга» — разработчики занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют устройства.

В июле 2020 года вымогатели Conti внедрили прорывную киберпреступную инновацию – перешли к тактике двойного вымогательства. Хакеры скачивали данные из систем атакованных компаний перед тем, как их зашифровать, а затем использовали угрозу обнародования информации в качестве дополнительного рычага давления на жертв.

Корпорация Conti

В конце февраля 2022 года в банде вымогателей произошел «внутренний конфликт» из-за разногласий по вопросам геополитики. В результате, один из членов группировки «слил»   внутреннюю переписку, данные о серверах злоумышленников,  список жертв, а также Bitcoin-кошельки, хранящие криптовалюту, полученную в качестве выкупа.

Эксперты Check Point Research тщательно проанализировали «утекшую» переписку и узнали много интересного о «внутренней кухне»  киберпреступного синдиката. Банду Conti можно назвать настоящей «вымогательской корпорацией», организация и принципы работы которой такие же, как в обычной IT-компании.

«Корпорация» Conti имеет четкие функции управления, а также классическую организационную иерархию с руководителями групп, которые подчиняются высшему руководству.

В «криминальной IT-компании» есть отдел кадров, подразделения исследований и разработок (R&D), разведки по открытым источникам (OSINT). «Сотрудники» регулярно получают зарплату, и периодически уходят в отпуска. В группировке также имеется продвинутая система бонусов и мотиваций, вдохновляющая эффективных  «киберпреступных менеджеров» на новые свершения.

Хакеры «трудятся» по 14 часов в день 7 дней в неделю.

Итоги деятельности

Сonti по праву считается одной из самых агрессивных и успешных группировок нашего времени. Начиная с 2020 года группа уверенно попадала в тройку лидеров по количеству зашифрованных организаций. А в 2021 году продуктивность сотрудников Conti вообще побила все возможные рекорды. Киберпреступники опубликовали данные 530 атакованных компаний, возглавив рейтинг вымогательского сообщества. 2022 год для группировки начался не менее успешно — за первые четыре месяца года список жертв группировки пополнился еще 156 компаниями.

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%)

География кибератак

По данным Group-IB, русскоязычные вымогатели Conti называют себя «патриотами» и не промышляют в России. Целями киберпреступников чаще всего становились США (58,4%), Канада (7%), Англия (6,6%) и Германия (5,8%). 

Но больше всего от атак вымогателей Conti пострадало маленькое латиноамериканское государство Коста-Рика.

ЧП в Коста-Рике

Коста-Рика – небольшая страна в Центральной Америке, покрытая тропическими лесами и омываемая водами Карибского моря и Тихого океана. Райское местечко!

Но помимо белоснежных пляжей Коста-Рика имеет довольно высокий уровень цифровизации и считается одной из самых безопасных и богатых стран в Латинской Америке.

В апреле 2022 года счастливая и беззаботная жизнь костариканцев внезапно закончилась  - на государство напала банда вымогателей Conti.

Киберпреступная группировка атаковала 27 правительственных учреждений. Была серьезно затруднена внешняя торговля страны, нарушена работа таможенной и налоговой платформ. Казначейство Коста-Рики также полностью осталось без цифровых услуг. Гражданам и организациям приходилось заполнять формы вручную, сильно перегружая государственный сектор. Государство погрузилось в цифровой мрак.

Чтобы спасти ситуацию, президент Коста-Рики ввел в стране чрезвычайное положение. Принятая мера позволила выделить дополнительные ресурсы для устранения последствий разрушительных кибератак.

Закрытие бренда

В конце мая вымогатели Conti неожиданно объявили о прекращении своей деятельности. 27 июня были отключены остатки общедоступной инфраструктуры — два сервера в сети Tor, которые использовались для публикации данных жертв и ведения переговоров о выкупе.

Специалисты отмечают, что у Conti серьезные финансовые проблемы. Внутри группировки произошел раскол, и главарь банды решил залечь на дно. Но можно ли считать историю Conti законченной? Ни в коем случае!

Эту песню не задушишь, не убьешь

По мнению экспертов, несмотря на закрытие бренда, команда хакеров Conti будет еще долгое время играть важную роль в индустрии вымогателей. Переговорщики, аналитики, пентестеры и разработчики теперь работают на более мелкие группировки, но все еще остаются частью крупного синдиката Conti. Разделившись на мелкие группы, банда стала более мобильной и получила возможность избежать пристального внимания со стороны правоохранительных органов.

Хотя бренд Conti канул в Лету, дело вымогателей живет, побеждает и переходит на новые ступени эволюции.

Если раньше созданием вирусов-шифрованием занимались обычные разработчики вредоносного ПО, то теперь вымогательство — это индустрия, в которой трудятся сотни киберпреступников самого разного профиля по всему миру.