Conti operatörleri Kosta Rika hükümetini devirmekle tehdit etseler bile, kötü şöhretli siber suç çetesi, suç faaliyetlerini Karakurt ve BlackByte dahil olmak üzere diğer yan operasyonlara taşımak için altyapılarını resmen kaldırdı.
AdvIntel araştırmacıları Yelisey Bogusalvskiy ve Vitali Kremez, “Müzakere sitesinden, sohbet odalarından, habercilerden sunuculara ve proxy ana bilgisayarlarına – kuruluşun kendisi değil Conti markası kapanıyor.” dedim bir raporda. “Ancak bu, tehdit aktörlerinin kendilerinin emekli olduğu anlamına gelmiyor.”
Ad ve utanç blogu dışında gönüllü fesih işleminin 19 Mayıs 2022’de gerçekleştiği ve fidye yazılımı grubunun üyelerinin sorunsuz geçişini sağlamak için aynı anda bir organizasyon düzenlemesinin gerçekleştiği söyleniyor.
AdvIntel, aynı zamanda Gold Ulrick takma adıyla takip edilen Conti’nin bilgi savaşı tekniklerini kullanarak kendi ölümünü düzenlediğini söyledi.
Dağılma aynı zamanda grubun ülkenin Ukrayna’yı işgalinde Rusya’ya olan bağlılığını da takip ediyor, operasyonlarına büyük bir darbe vurdu ve binlerce özel sohbet günlüğünün ve araç setinin sızdırılmasına neden olarak onu “zehirli bir marka” haline getirdi.
Conti ekibinin son iki aydır aktif olarak alt bölümler oluşturduğuna inanılıyor. Ancak grup, aktif bir grubun hareketlerini simüle etmek amacıyla “duman sinyalleri” göndererek anlatıyı kontrol etmek için adımlar atmaya başladı.
Araştırmacılar, “Kosta Rika’ya yapılan saldırı gerçekten de Conti’yi ön plana çıkardı ve gerçek yeniden yapılanma gerçekleşirken onların yaşam yanılsamasını biraz daha uzun süre korumalarına yardımcı oldu” dedi.
“Conti’nin bu son saldırıyla buluşmak istediği tek amaç, platformu bir tanıtım aracı olarak kullanmak, kendi ölümlerini ve ardından yeniden doğuşlarını düşünülebilecek en makul şekilde gerçekleştirmekti.”
Yönlendirme taktikleri bir yana, Conti’nin sızma uzmanlarının BlackCat, AvosLocker, Hive ve HelloKitty (diğer adıyla FiveHands) gibi diğer iyi bilinen fidye yazılımı gruplarıyla da ittifaklar kurdukları söyleniyor.
Ek olarak, siber güvenlik firması, artan inceleme ve suç örgütü tarafından gerçekleştirilen saldırıların yüksek profilli doğasının ardından Rus kolluk kuvvetlerinin Conti’ye faaliyetlerini durdurması için baskı uyguladığı gerçeğine atıfta bulunan iç iletişim gördüğünü söyledi. .
Conti’nin Rusya ile ilişkisinin başka istenmeyen sonuçları da oldu; bunların başında, Batı’nın ülkeye uyguladığı ağır ekonomik yaptırımlar ışığında kurbanlardan fidye ödemelerini alamaması geliyor.
Bununla birlikte, markanın varlığı sona erebilse de grup, farklı motivasyonlara ve veri hırsızlığına kadar değişen iş modellerine sahip birden fazla alt grubu içeren merkezi olmayan bir hiyerarşi olarak adlandırılan şeyi benimsemiştir (karakurt, SiyahBastave siyahbayt) bağımsız iştirakler olarak çalışmak.
Bu, Gold Ulrick’in iç işleyişini ilk kez yenilemesi değil. elit olan TrickBot Doz aşımı bölümü Ryuk ve halefi Conti’nin yaratılmasını doğurdu, o zamandan beri kapatıldı ve kollektifin içine çekildi ve TrickBot’u bir Conti yan kuruluşu haline getirdi. Ayrıca BazarLoader ve Emotet’i de devraldı.
AdvIntel, “Conti’nin suç portföyünün şaşırtıcı derecede hızlı dağılmasıyla birlikte çeşitlenmesi, iş modellerinin diğer gruplar arasında tekrarlanıp tekrarlanmayacağını sorguluyor.” not alınmış geçen hafta.
Cybereason’ın güvenlik şefi Sam Curry, The Hacker News ile paylaştığı bir bildiride, “Ransomware Inc., sık sık çağrılan çetelere daha az ve zaman geçtikçe kartellere daha çok benziyor” dedi.
“Bu, iş ortağı anlaşmaları, özel roller, iş benzeri Ar-Ge ve pazarlama grupları vb. anlamına gelir. Conti, meşru şirketler arasında gördüğümüz türdeki faaliyetleri yansıtmaya başladığından, değişmeleri şaşırtıcı değil.”
