Conti olarak bilinen kötü şöhretli fidye yazılımı grubu, devam etti yeni araştırmaya göre, bu yılın başlarında kendi başına büyük bir veri sızıntısına maruz kalmasına rağmen kuruluşlara yönelik saldırı.

Conti, olarak bilinen Rusya merkezli bir tehdit aktörüne atfedildi Altın Ulrickfidye yazılımı ortamındaki en yaygın kötü amaçlı yazılım türlerinden biridir ve Ekim ile Aralık 2021 arasındaki üç aylık dönemde tüm saldırıların %19’unu oluşturur.

LockBit 2.0, PYSA ve Hive gibi geçen yılın en üretken fidye yazılımı gruplarından biri olan Conti, hastaneler, işletmeler ve devlet kurumlarının ağlarını kilitledi ve şifre çözme anahtarını paylaşma karşılığında fidye ödemesi aldı. isim ve utanç planının bir parçası.

Ancak siber suçlu karteli, Şubat ayında Ukrayna’yı işgali konusunda Rusya’yı desteklediğini açıkladıktan sonra, Twitter hesabı ContiLeaks’in altındaki anonim bir Ukraynalı güvenlik araştırmacısı, kaynak kodunu ve üyeleri arasındaki özel görüşmeleri sızdırmaya başladı ve grubun durumu hakkında benzeri görülmemiş bir fikir verdi. işler.

Secureworks, “Sohbetler, sık işbirliği ve desteğe sahip birden çok tehdit grubu arasında olgun bir siber suç ekosistemini ortaya koyuyor” dedim Mart ayında yayınlanan bir raporda. Gruplar arasında Gold Blackburn (TrickBot ve Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) ve Gold Swathmore (IcedID) bulunur.

Gerçekten de Intel 471’ler teknik izleme 25 Aralık 2021 ve 25 Mart 2022 arasındaki Emotet kampanyalarından bir düzineden fazla Conti fidye yazılımı hedefinin aslında Emotet kötü amaçlı spam saldırılarının kurbanı olduğunu belirledi ve iki operasyonun nasıl iç içe geçtiğini vurguladı.

Bununla birlikte, sızıntılar, Mart ayında yayınlanan Conti kurbanlarının sayısı, Atlanta merkezli siber güvenlik firmasına göre Ocak 2021’den bu yana ikinci en yüksek aylık toplamına yükselirken, sendikanın faaliyetlerine bir sönümleyici koymuş gibi görünmüyor.

Dahası, operatörler cephaneliklerinin kamuya açıklanmasına yanıt olarak “fidye yazılımlarını, izinsiz giriş yöntemlerini ve yaklaşımlarını geliştirmeye” devam etseler bile, grubun Nisan ayının ilk dört gününde 11 kurban eklediği söyleniyor.

Bulgular tarafından da doğrulandı KKK Grubu Geçen ayın sonlarında, “Conti operatörleri ağları tehlikeye atmaya, verileri sızdırmaya ve nihayet fidye yazılımlarını dağıtmaya devam ederek her zamanki gibi işlerine devam ediyor” dedi.

Conti ve Karakurt arasında bir bağlantı ağı

Gelişme finansal olarak gelir ve taktik örtüşmeler ContiLeaks destanı sırasında, TrickBot operatörlerinin fidye yazılımı karteline dahil edilmesinden haftalar sonra yayınlanan bilgilere dayanarak Conti ve Karakurt veri hırsızlığı grubu arasında ortaya çıkarıldı.

Karakurt’a ait kripto para adresleriyle ilişkili blok zinciri işlemlerinin analizi, “Karakurt cüzdanlarının Conti cüzdanlarına önemli miktarda kripto para gönderdiğini” gösterdi. ortak soruşturma Arctic Wolf ve Chainalysis araştırmacıları tarafından.

Paylaşılan cüzdan barındırma işleminin, şu anda feshedilmiş TrickBot çetesinin Diavol fidye yazılımını da içerdiği söyleniyor ve “Conti fidye yazılımı saldırılarında kullanılan adresleri içeren bir cüzdan tarafından barındırılan Diavol gasp adresi”, Diavol’un arkasındaki aynı aktörler tarafından konuşlandırıldığını gösteriyor. Conti ve Karakurt.

Bir Conti fidye yazılımı bulaşmasının ardından müteakip bir gasp saldırısı dalgasına maruz kalan isimsiz bir müşterinin daha fazla adli incelemesi, ikinci grubun Conti tarafından geride bırakılan aynı Cobalt Strike arka kapısını kullandığını ortaya çıkardı ve görünüşte farklı siber suç aktörleri arasında güçlü bir ilişki olduğunu ima etti.

Arctic Wolf, “Karakurt’un Conti ve Diavol ajanlarının ayrıntılı bir yan uğraşı olup olmadığı veya bunun genel organizasyon tarafından onaylanan bir girişim olup olmadığı görülecektir.” dedi.

Araştırmacılar, “Belki de bu bağlantı, Karakurt’un sadece sızma amaçlı bazı rakiplerinin ölmesine rağmen neden hayatta kaldığını ve geliştiğini açıklıyor” dedi ve ekledi, “Ya da alternatif olarak, belki de bu, ana grup tarafından yetkilendirilen stratejik bir çeşitlendirmenin deneme çalışmasıydı. “



siber-2