Rusya’nın Ukrayna’yı işgaliyle ilgili gerilimler artmaya devam ederken, büyük şirketlere ve kritik altyapı ağlarına yönelik yüksek profilli saldırılardan sorumlu Rusya merkezli bir kuruluş olan Conti fidye yazılımı grubu, başlangıçta Putin’in grubun veri sızıntısı sitesine yaptığı saldırıyı desteklediğini duyurdu. “devam eden savaşı” mahkûm ettiğini öne sürerek, bir geri çekilme yayınlamadan önce. Conti, 1 Mart’ta yaptığı bir takip açıklamasında, Batı’nın Rusya’ya veya Rusça konuşan ülkelere karşı siber saldırılar başlatması durumunda “misilleme önlemlerinin” alınacağını belirtti.
Ancak, 27 Şubat’ta, Ukraynalı bir güvenlik araştırmacısı, gruptan binlerce dahili sohbet günlüğü de dahil olmak üzere yaklaşık 400 dosya içeren neredeyse iki yıllık dahili sohbet günlüklerini sızdırdı.
GroupSense’te, devam eden araştırmalarımız ve fidye yazılımı müzakerelerimiz yoluyla geliştirilen Conti dahil olmak üzere fidye yazılımı grupları hakkında kapsamlı bir istihbarat kitaplığı tutuyoruz. En önemlisi, Conti’nin geleneksel bir şirket gibi çalıştığını ve Rusya ile olan bağlarını biliyorduk; ancak sızıntılar Conti’nin iç işleyişi – hizmet olarak fidye yazılımı (RaaS) yapısı, karşılaştığı ticari zorluklar, belirli davranışlar ve daha fazlası hakkında daha fazla ayrıntı ortaya çıkardı. Grubu daha iyi anlayabilmeniz ve kuruluşunuzu koruyabilmeniz için öğrendiğimiz önemli verilerden bazıları burada.
Operasyonel ve Ücret Yapısı
Diğer hizmet-olarak-biçimli iş yapıları gibi, Conti’nin yapısı da ayak işlerinin çoğunu yapan giriş seviyesi çalışanları ile üst ve orta yönetimden oluşur. Rolleri, fidye yazılımı müzakerecileri ve anlaşma yakınlaştırıcılar gibi özel işlevleri içerir. Sızan sohbet günlükleri, özel müzakere eğitmenlerinin olduğunu da ortaya çıkardı. Giriş seviyesindeki çalışanlar, grubun üst düzey yöneticilerinin bir sonraki iş ile meşgul olmalarını sağlamak için (kurbanlardan pazarlık ve fidye toplama) yeterli işi olduğundan emin olmak için hafta sonları çalışan ilk erişim komisyoncularına (şirket ağlarına erişim sağlayan bireyler) güveniyor. hafta.
Sızıntının bir parçası olarak, Conti çalışanlarına ne kadar ödeme yapıldığına dair önemli bilgiler sağlayan kripto para cüzdan anahtarları açığa çıktı. Conti’nin gelir akışı ve hafta sonu çalışmaları için ne kadar kritik oldukları göz önüne alındığında, ilk erişim komisyoncularına toplanan fidyenin büyük bir kısmı, genellikle yaklaşık %20 ila %30’u ödenir. Üst yönetim fidyeden en yüksek yüzdeyi alırken, 9’dan 5’e normal bir programda çalışan orta düzey yöneticiler yılda ortalama 80.000 dolar maaş alıyor. Kuruluşun işgücü olan yeni giriş seviyesi çalışanları, terfi edene kadar fidyenin yalnızca yüzde yarısını alır ve ardından fidyenin yüzde 1’ini alırlar.
Yanlış İddialar ve İşle İlgili Zorluklar
Conti’nin saldırıları tipik olarak, ilk erişim komisyoncularının bir ağa erişim sağlamak için kimlik avı kampanyaları başlatmasıyla, virüslü makinelere bir fidye notu bırakmadan önce cihazları ve verileri şifreleyerek başlar. Ancak günlükler, Conti çalışanlarının genellikle müşterilerinin tüm verilerine sahip olduklarını iddia ettiklerini ortaya çıkardı – ancak bu her zaman doğru değil. Çoğu durumda grup, mağdurlara “tüm verilerinin” kendisinde olduğunu söylese bile, müşteriye ait olduğunu iddia ettiği verilerinin yalnızca bir kısmına erişebilir. Bunu not etmek özellikle önemlidir, çünkü bu bilgilerle kuruluşunuz bir saldırının boyutunu daha iyi anlayabilir ve müzakerecilerin ve tehdit istihbarat ekiplerinin Conti’nin blöflerini aramasına olanak tanır.
Ayrıca Conti, geçtiğimiz birkaç ay boyunca kripto para cüzdanlarını bozdurma konusunda sorunlar yaşadı. Sızdırılan sohbetlerde Conti operatörleri, tam konumlarını ortaya çıkarmamak için farklı bankalara olan mesafeyi kilometre cinsinden tartıştı. Bu, Conti operatörlerinin ödemeleri mümkün kılmak için farklı bankalara erişmek için şehirden şehre taşınmaya zorlandıkları anlamına gelir. Conti operatörleri ayrıca ofislerinin yerini korumak için hafta sonu gezilerini kilometre cinsinden tartıştılar.
Büro Politikası ve Müzakere Davranışı
Sızan sohbet kayıtları Conti’nin ofis politikasını da ortaya çıkardı. Sohbet günlüklerinde, orta ve üst yönetimin onlara nasıl davrandığından ve kaç saat çalıştıklarından şikayet eden birkaç giriş seviyesi çalışanı vardı. Ayrıca daha prestijli ofisleri içeren bir tanıtım yapısı var gibi görünüyor, en iyi ve en çok rağbet gören lokasyon Dubai’de. Bu konuma terfi ettirilirse, çalışanlar daha yüksek profilli davalar, daha büyük ödemeler ve hatta ikramiyeler alırlar.
Milyonlarca dolarlık fidye yazılımı ödemesi için, sohbet günlüklerine göre, çalışanlardan kurbanlarına “kibar olmalarını” ve en iyi müşteri hizmetleri seslerini kullanmalarının söylendiğini öğrendik. Organizasyon, büyük miktarda fidye ödeyemeyen kurbanlar için optikle pek ilgilenmiyor. Ayrıca, grubun kurbanı bir avukat olduğunda, Conti müzakerecilerine asla pazarlık yapmamaları söylendiğini gördük çünkü avukatlar her zaman tam bedeli ödeyecekler.
Bu veri sızıntısıyla birlikte ele alınacak çok sayıda değerli veri geliyor ve bu bulgular şu ana kadar bulduklarımızın en önemlileri. Conti’nin iç işleyişini bilmek, yalnızca fidye yazılımı müzakerecilerine yardımcı olmakla kalmayacak, aynı zamanda kuruluşların bir fidye yazılımı saldırısını ne zaman ve ne zaman olursa olsun daha iyi ele almasına da yardımcı olacaktır. Diğer iyi haber ise, uzun vadede, bu gibi sızıntılar, kolluk kuvvetlerinin belirli tehdit aktörlerini hedef alarak organizasyonlarını çökertmesine ve Conti’yi özellikle savunmasız hale getirmesine olanak sağlayabilir.