Операторы вымогателя Conti «заработали» не менее 25,5 млн долларов с июля 2021 года

Специалисты швейцарской ИБ-компании Prodaft подсчитали, что за последние пять месяцев операторы шифровальщика Conti заработали не менее 25,5 миллионов долларов на своих атаках.

Компания заявила, что сотрудничала с блокчейн-аналитиками из компании Elliptic, и смогла отследить 113 криптовалютных адресов и более 500 биткоинов, которые операторы Conti собрали со своих жертв за последние пять месяцев. Эти данные являются первой и единственной попыткой оценить прибыли Conti на сегодняшний день.

Эксперты Prodaft и Elliptic говорят, что зафиксировали несколько транзакций, которые отделили 6,2 миллиона долларов из прибыли Conti, и были отправлены в так называемый «кошелек консолидации». Обнаружение этого кошелька — хорошая новость, так как он может стать целью для правоохранительных органов и позволит властям конфисковать значительную часть прибыли хак-группы, как ранее Министерство юстиции США сделало с одним из партнеров REvil.

Однако Prodaft отмечает, что операторы Conti сами управляют кошельком консолидации, а партнеры группы в этом не участвуют. Они обычно отмывают прибыль через теневые обменники, Wasabi, и через русскоязычные маркетплейсы, вроде Hydra.

«В августе 2021 года 0,07 биткоина было отправлено из этого кластера на известную биржу, которая, как известно, используется вымогательскими группами. Помимо этого, Conti не пытались обналичить или обменять полученные биткоины из этого кластера. Активность группы указывает на то, что оставшиеся 123,06 биткоина в настоящее время хранятся в unhosted-кошельке», — пишут исследователи.

Кроме того, исследователи заявили, что также отслеживали выплаты выкупов и то, как группировка распределяла прибыль среди своих партнеров.

«Был выявлен один кластер, который получал платежи от Conti и DarkSide, что может указывать на то, что это физическое лицо, которое работало в качестве партнера обеих этих групп».

Стоит казать, что после прекращения работы таких вымогателей, как Avaddon, REvil, DarkSide и BlackMatter, группировка Conti, наряду с LockBit, стали наиболее активными RaaS-платформами в мире. Это объясняет интерес к хакерам как со стороны ИБ-экспертов, так и со стороны спецслужб.