В конце 2019 года на киберпреступном небосклоне зажглась новая яркая звезда – возникла банда вымогателей Conti, одна из самых агрессивных и успешных группировок нашего времени.
От рук киберпреступников пострадали 850 организаций из самых разных отраслей, многочисленные госведомства и даже целое государство.
Начало
Conti — русскоязычная группировка, использующая в своем арсенале одноименную программу-вымогатель. Киберпреступники проникают в IT-системы компаний, зашифровывали все находящиеся в них данные, а затем требовали выкуп за возобновление доступа к информации.
Эксперты Group-IB обнаружили первые упоминания о Conti в феврале 2020 года. При этом тестовые версии вредоносной программы датируются еще ноябрем 2019-го.
Банда Conti использует бизнес-модель «вымогательское ПО как услуга» — разработчики занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют устройства.
В июле 2020 года вымогатели Conti внедрили прорывную киберпреступную инновацию – перешли к тактике двойного вымогательства. Хакеры скачивали данные из систем атакованных компаний перед тем, как их зашифровать, а затем использовали угрозу обнародования информации в качестве дополнительного рычага давления на жертв.
Корпорация Conti
В конце февраля 2022 года в банде вымогателей произошел «внутренний конфликт» из-за разногласий по вопросам геополитики. В результате, один из членов группировки «слил» внутреннюю переписку, данные о серверах злоумышленников, список жертв, а также Bitcoin-кошельки, хранящие криптовалюту, полученную в качестве выкупа.
Эксперты Check Point Research тщательно проанализировали «утекшую» переписку и узнали много интересного о «внутренней кухне» киберпреступного синдиката. Банду Conti можно назвать настоящей «вымогательской корпорацией», организация и принципы работы которой такие же, как в обычной IT-компании.
«Корпорация» Conti имеет четкие функции управления, а также классическую организационную иерархию с руководителями групп, которые подчиняются высшему руководству.
В «криминальной IT-компании» есть отдел кадров, подразделения исследований и разработок (R&D), разведки по открытым источникам (OSINT). «Сотрудники» регулярно получают зарплату, и периодически уходят в отпуска. В группировке также имеется продвинутая система бонусов и мотиваций, вдохновляющая эффективных «киберпреступных менеджеров» на новые свершения.
Хакеры «трудятся» по 14 часов в день 7 дней в неделю.
Итоги деятельности
Сonti по праву считается одной из самых агрессивных и успешных группировок нашего времени. Начиная с 2020 года группа уверенно попадала в тройку лидеров по количеству зашифрованных организаций. А в 2021 году продуктивность сотрудников Conti вообще побила все возможные рекорды. Киберпреступники опубликовали данные 530 атакованных компаний, возглавив рейтинг вымогательского сообщества. 2022 год для группировки начался не менее успешно — за первые четыре месяца года список жертв группировки пополнился еще 156 компаниями.
В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%)
География кибератак
По данным Group-IB, русскоязычные вымогатели Conti называют себя «патриотами» и не промышляют в России. Целями киберпреступников чаще всего становились США (58,4%), Канада (7%), Англия (6,6%) и Германия (5,8%).
Но больше всего от атак вымогателей Conti пострадало маленькое латиноамериканское государство Коста-Рика.
ЧП в Коста-Рике
Коста-Рика – небольшая страна в Центральной Америке, покрытая тропическими лесами и омываемая водами Карибского моря и Тихого океана. Райское местечко!
Но помимо белоснежных пляжей Коста-Рика имеет довольно высокий уровень цифровизации и считается одной из самых безопасных и богатых стран в Латинской Америке.
В апреле 2022 года счастливая и беззаботная жизнь костариканцев внезапно закончилась - на государство напала банда вымогателей Conti.
Киберпреступная группировка атаковала 27 правительственных учреждений. Была серьезно затруднена внешняя торговля страны, нарушена работа таможенной и налоговой платформ. Казначейство Коста-Рики также полностью осталось без цифровых услуг. Гражданам и организациям приходилось заполнять формы вручную, сильно перегружая государственный сектор. Государство погрузилось в цифровой мрак.
Чтобы спасти ситуацию, президент Коста-Рики ввел в стране чрезвычайное положение. Принятая мера позволила выделить дополнительные ресурсы для устранения последствий разрушительных кибератак.
Закрытие бренда
В конце мая вымогатели Conti неожиданно объявили о прекращении своей деятельности. 27 июня были отключены остатки общедоступной инфраструктуры — два сервера в сети Tor, которые использовались для публикации данных жертв и ведения переговоров о выкупе.
Специалисты отмечают, что у Conti серьезные финансовые проблемы. Внутри группировки произошел раскол, и главарь банды решил залечь на дно. Но можно ли считать историю Conti законченной? Ни в коем случае!
Эту песню не задушишь, не убьешь
По мнению экспертов, несмотря на закрытие бренда, команда хакеров Conti будет еще долгое время играть важную роль в индустрии вымогателей. Переговорщики, аналитики, пентестеры и разработчики теперь работают на более мелкие группировки, но все еще остаются частью крупного синдиката Conti. Разделившись на мелкие группы, банда стала более мобильной и получила возможность избежать пристального внимания со стороны правоохранительных органов.
Хотя бренд Conti канул в Лету, дело вымогателей живет, побеждает и переходит на новые ступени эволюции.
Если раньше созданием вирусов-шифрованием занимались обычные разработчики вредоносного ПО, то теперь вымогательство — это индустрия, в которой трудятся сотни киберпреступников самого разного профиля по всему миру.