Kötü şöhretli Conti fidye yazılımı çetesinin faaliyetlerini durdurmasından iki ay sonra, üyelerinden bazıları ya diğer fidye yazılımı gruplarının bir parçası olarak ya da veri hırsızlığına, ilk ağ erişimine ve diğer suç girişimlerine odaklanan bağımsız yükleniciler olarak her zamanki gibi aktif olmaya devam ediyor.
Ayrı olarak, Intel 471’e göre, kuruluşlar için eskiden olduğu gibi tek bir çetenin üyeleri kadar tehlikeli olmaya devam ediyorlar. Grubun araştırmacıları, grubun Mayıs ayında dağılmasından bu yana farklı yönlere hareket eden Conti aktörlerini takip ediyor.
Operasyonların durdurulması, grup operatörlerinin kendilerini markadan her şeyden daha fazla uzaklaştırma teklifi gibi görünüyor. Yeni bir raporda, tehdit istihbarat firması, Conti grubu etrafındaki kanun uygulayıcıların dikkati bir kez azaldığında, şu anda dağılmış durumdaki üyelerinin muhtemel olduğunu tahmin ediyor. yeniden bir araya gelip başka bir suç örgütü kurmak yapı olarak orijinaline benzer.
Intel 471’in paylaşılan hizmetler grubu istihbarat direktörü Brad Crompton, “Güvenlik uygulayıcılarının işletmelerini savunmak için siber suçluların operasyonlarını nasıl organize ettiğini anlamaları gerekiyor” diyor. “Conti feshedilmiş olsa da, eski operatörler hala benzer kullanıyor [tactics, techniques, and procedures]Bu, güvenlik ekiplerinin Conti’nin ölümü ışığında onları tamamen görmezden gelmek yerine benzer saldırıları durdurmak için önceki stratejilerini kullanmaya devam edebilecekleri anlamına geliyor.”
En Yıkıcı Fidye Yazılım Grubu
Conti grubu, güvenlik endüstrisinde tüm zamanların en yıkıcı fidye yazılımı operasyonlarından biri olarak kabul edilmektedir. Ağırlıklı olarak Rusya merkezli grup ilk olarak 2020’de ortaya çıktı ve hedef ağlarına sızmak için hedefli kimlik avı kampanyaları, çalınan Uzak Masaüstü Protokolü kimlik bilgileri, yazılım güvenlik açıkları ve zehirli yazılımlar dahil olmak üzere çeşitli taktikler kullandı.
FBI, Ocak ayına kadar çetenin, 400’den fazlası ABD’de olmak üzere dünya çapında 1000’den fazla kurbandan yaklaşık 150 milyon dolarlık fidye ödemesi topladığını tahmin ediyor. Yıkımın ölçeği, ABD Dışişleri Bakanlığı’nın Mayıs ayında bir açıklama yapmasına neden oldu. 10 milyon dolarlık ödül çetenin kilit kişilerinin kimliğinin ve/veya yerinin belirlenmesine yol açan bilgiler için. Dışişleri Bakanlığı, Conti fidye yazılımı olaylarını içeren saldırılara katılan kişilerin tutuklanmasına ve mahkum edilmesine yol açacak bilgiler için 5 milyon dolar daha teklif etti.
Conti’nin Operasyonlarına Bir Pencere Sızdırmak
Mayıs ayında, çetenin Ukraynalı bir üyesi, Conti ekibinin Rus hükümetinin Ukrayna’yı işgaline verdiği desteği resmen açıklamasının ardından, Conti’nin iç konuşmalarından oluşan büyük bir hazineyi kamuoyuna açıkladı. Bu sızıntıdan elde edilen bilgiler ve Eylül 2021’deki başka bir sızıntı, Conti fidye yazılımı operasyonunu gösterdi resmi bir iş çizgileri boyunca yapılandırıldı fiziksel bir ofis, planlanmış çalışma saatleri, çeşitli katmanlardaki yöneticiler ve İK, kodlama, eğitim, test, istihbarat toplama ve diğer işlevler için ayrı departmanlarla tamamlandı.
FBI, Ulusal Güvenlik Ajansı (NSA) ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) daha önce Conti’nin geliştiricilerinin kötü amaçlı yazılımlarını dağıtmak için bir hizmet olarak fidye yazılımı modeli kullandığını değerlendirdi. Ancak Conti’nin geliştiricileri, genellikle bir hizmet olarak fidye yazılımında olduğu gibi, bağlı kuruluşlardan fidyeden bir pay almak yerine, saldırganlara kötü amaçlı yazılımlarını kurbanların ağlarına dağıtmaları için sabit bir ücret ödedi.
Sızıntıların Conti’nin geliştiricileri ile Rusya Federal Güvenlik Servisi (FSB) arasında bir bağlantı olduğuna dair yaygın şüpheleri de doğruladığı ortaya çıktı.
Yeniden Markalama ve Yeniden Gruplama?
Mayıs ayının ortalarında, Conti’nin geliştiricileri görünüşte aniden yönetim panelleri, sunucular, proxy sunucuları, sohbet odaları ve bir müzakere hizmet sitesi gibi altyapıyı kapatmaya başladı – muhtemelen kolluk kuvvetlerinden çekmeyi başardığı yüksek düzeyde ilgiye ve medya. Birkaç hafta sonra, fidye ödemeyi reddeden kurbanları adlandırmak ve utandırmak için kullandığı bir siteyi de kapattı.
O dönemde AdvIntel tarafından yapılan bir analiz, grubun ana aktörlerinin çoktan harekete geçtiği sonucuna vardı. Operasyonu çeşitli kisveler altında sürdürmeyi planlıyor resmi kapanmasından birkaç ay önce.
Nisan ayında veya Conti’nin fidye yazılımı sahnesinden resmi çıkışından bir ay önce faaliyete geçen Black Basta fidye yazılımı çetesi, böyle bir operasyon gibi görünüyor. Intel 471, grubun faaliyetlerine ilişkin analizinin, ödeme ve veri sızıntısı siteleri, ödeme sitesi, kurtarma portalları ve iletişim ve müzakere yöntemleri gibi Black Basta altyapısının Conti’nin operasyonlarıyla örtüştüğünü gösterdiğini söyledi.
Intel 471 ayrıca Conti ile benzer, önemli örtüşmelere sahip olan ve aslında Conti operasyonları olarak yeniden adlandırılabilecek iki fidye yazılımı işlemi daha belirledi – BlackByte ve Karakurt. Ayrıca, bazı Conti iştirakleri ve yöneticileri, Ryuk, Maze, LockBit 2.0, BlackCat, Hive ve HelloKitty dahil olmak üzere diğer fidye yazılımı ekipleriyle ittifaklar kurdu. Intel 471’e göre, diğer aktörlerin kendi fidye yazılımlarını ve şifre çözme araçlarını geliştirmek için sızdırılmış Conti kaynak kodunu kullanması da mümkündür.