«Патриоты» с большой дороги: вымогатели из Conti выложили данные более 850 международных компаний

«Патриоты» с большой дороги: вымогатели из Conti выложили данные более 850 международных компаний
23.06.2022

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — "ARMattack". Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB "АРМАДА CONTI. КАМПАНИЯ ARMATTACK". С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, .а также госведомства и даже целое государство.

Операторы двойного давления

Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.

image.png

C июля 2020 года Conti начала активно использовать технику "double extortion" — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп.

Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в скорбном списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года (включая апрель 2022 года).

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры "разливают" шифровальщики на всех устройствах и запускают их.

Не спешите их хоронить

Conti и их партнеры атакуют не только часто, но и быстро. Эксперты Group-IB проанализировали одну из самых молниеносных и продуктивных ее кампаний, которую назвали ARMattack. Она длилась чуть больше месяца — c 17 ноября 2021 по 20 декабря 2021, но оказалась супер-результативной: атакующим удалось скомпрометировать больше 40 организаций по всему миру. Большинство из них также же находились в США (37%), однако кампания интенсивно прошлась по Европе, оставив жертв в Германии (3%), Швейцарии (2%), Нидерландах, Испании, Франции, Чехии, Швеции, Дании (по 1%). 

image (1).png

Согласно данным команды Group-IB Threat Intelligence, самая стремительная атака была проведена группой всего за 3 дня — ровно столько времени прошло от проникновения Conti в систему до её шифрования. Group-IB впервые приводит анализ «рабочих часов» Conti: в среднем, вымогатели работают по 14 часов в день 7 дней в неделю.

География атак Conti, в целом, довольно обширна и не включает Россию. Группа придерживается негласного правила киберкриминала «не работать по ру». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала "не работать по Ру", но и открыто заявляя, что являются "патриотами".

Из-за этого в конце февраля в группе даже произошел "внутренний конфликт" — один из вымогателей "слил" внутреннюю переписку, данные о серверах злоумышленников, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 000 BTC. Из утечки стало известно, что у Conti — серьезные финансовые проблемы, "шеф" залег на дно, однако ее участники полны решимости перезапустить проект через 2—3 месяца.

Несмотря на "удар в спину" и повышенное внимание со стороны правоохранительных органов, аппетиты у Conti только выросли — они атаковали не только крупные международные компании, но и целые государства. Апрельская "кибервойна" Conti против Коста-Рики привела к введению чрезвычайного положения в стране — это первый прецедент такого масштаба.

Программа мотивации для вымогателей

По данным Group-IB, Conti довольно плотно взаимодействовали с другими операторами шифровальщиков. Например, с Ryuk, Maze (они даже взяли инструмент на тестирование, разреверсили и значительно улучшили свой собственный шифровальщик), Netwalker и, конечно, Lockbit. Кроме этого, при исследовании кампании ARMattack, эксперты Group-IB обнаружили в арсенале злоумышленников не только описанные ранее Windows-инструменты, но еще Linux-шифровальщики Conti и Hive.

При этом группа стремится к разработке уникальных инструментов, чтобы сравнение их кода не привело к выявлению общих паттернов — до слива переписки о том, что целые RaaS -"партнерки" являются подразделениями Conti, исследователи догадывались лишь по косвенным признакам.

При этом взаимодействие было довольно обширным: иногда Conti "брали в работу" сетки у других "вендоров пробива", иногда сами же делились ими за скромные 20% от выручки. Как и у легального IT-стартапа, у Conti есть свои отделы HR, R&D, OSINT, тимлиды, регулярная выплата заработных плат, система мотивации и отпуска.

Одной из особенностей Conti является использование свежих уязвимостей, позволяющих получить первоначальный доступ к сетям. Так Conti были замечены в эксплуатации недавних CVE-2021-44228CVE-2021-45046 и CVE-2021-45105 в модуле log4j. Меньше чем через неделю Conti использовала эти уязвимости для атак на vCenter. Кроме этого, в Conti есть специалисты, имеющие опыт в поиске Zero Day уязвимостей.

"Повышенная активность Conti и "слив данных" позволили окончательно убедиться в том, что шифровальщики — уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире, — замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Threat Intelligence Group-IB — В этой индустрии Conti — заметный игрок, создавший фактически IT-компанию, цель которой — вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее "дробление" на маленькие подпроекты — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих "дочерних" проектов".

Традиционно аналитический отчет Group-IB, "АРМАДА CONTI. КАМПАНИЯ ARMATTACK" открывает исследователям и потенциальным жертвам доступ к набору данных, включая индикаторы компрометации, информацию об актуальных техниках, тактиках и инструментах Conti, разложенных по матрице MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).

О компании: 

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира расположена в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Group-IB Threat Intelligence – это система исследования и атрибуции кибератак, содержащая структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов. 

Это результат объединения 19-летнего опыта Group-IB по расследованиям, сбору и анализу информации об инцидентах ИБ, атаках, злоумышленниках и их инфраструктуре. TI от Group-IB признана лучшей в своём классе аналитическими агентствами IDC, Forrester, Gartner.

Решение Group-IB THF для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader».

Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентство Frost & Sullivan.

В основе технологического лидерства компании и возможностей в сфере научных исследований и разработки — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково», Иннополиса и партнером Europol.



Комментарии 0


Назад