Русскоязычные вымогатели выложили данные более 850 международных компаний

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.

180906-iStock-1226690067.jpg

Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB «АРМАДА CONTI. КАМПАНИЯ ARMATTACK». С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство.

Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.

180728-1.jpg

C июля 2020 года Conti начала активно использовать технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп. 

Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в скорбном списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года (включая апрель 2022 года). 

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их.

Сообщается, что Conti и их партнеры атакуют не только часто, но и быстро. Эксперты Group-IB проанализировали одну из самых молниеносных и продуктивных ее кампаний, которую назвали ARMattack. Она длилась чуть больше месяца — c 17 ноября 2021 по 20 декабря 2021, но оказалась супер-результативной: атакующим удалось скомпрометировать больше 40 организаций по всему миру. Большинство из них также же находились в США (37%), однако кампания интенсивно прошлась по Европе, оставив жертв в Германии (3%), Швейцарии (2%), Нидерландах, Испании, Франции, Чехии, Швеции, Дании (по 1%).

180728-2.jpg

Согласно данным команды Group-IB Threat Intelligence, самая стремительная атака была проведена группой всего за 3 дня — ровно столько времени прошло от проникновения Conti в систему до ее шифрования. Group-IB впервые приводит анализ «рабочих часов» Conti: в среднем, вымогатели работают по 14 часов в день 7 дней в неделю. 

География атак Conti в целом довольно обширна и не включает Россию. Группа придерживается негласного правила киберкриминала «не работать по ру». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала «не работать по Ру», но и открыто заявляя, что являются «патриотами». 

Из-за этого в конце февраля в группе даже произошел «внутренний конфликт» — один из вымогателей «слил» внутреннюю переписку, данные о серверах злоумышленников, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 000 BTC. Из утечки стало известно, что у Conti — серьезные финансовые проблемы, «шеф» залег на дно, однако ее участники полны решимости перезапустить проект через 2–3 месяца. 

Несмотря на «удар в спину» и повышенное внимание со стороны правоохранительных органов, аппетиты у Conti только выросли — они атаковали не только крупные международные компании, но и целые государства. Апрельская «кибервойна» Conti против Коста-Рики привела к введению чрезвычайного положения в стране — это первый прецедент такого масштаба. 

По данным Group-IB, Conti довольно плотно взаимодействовали с другими операторами шифровальщиков. Например, с Ryuk, Maze (они даже взяли инструмент на тестирование, разреверсили и значительно улучшили свой собственный шифровальщик), Netwalker и Lockbit. Кроме этого, при исследовании кампании ARMattack, эксперты Group-IB обнаружили в арсенале злоумышленников не только описанные ранее Windows-инструменты, но еще Linux-шифровальщики Conti и Hive. 

При этом группа стремится к разработке уникальных инструментов, чтобы сравнение их кода не привело к выявлению общих паттернов — до слива переписки о том, что целые RaaS -«партнерки» являются подразделениями Conti, исследователи догадывались лишь по косвенным признакам. 

При этом взаимодействие было довольно обширным: иногда Conti «брали в работу» сетки у других «вендоров пробива», иногда сами же делились ими за скромные 20% от выручки. Как и у легального IT-стартапа, у Conti есть свои отделы HR, R&D, OSINT, тимлиды, регулярная выплата заработных плат, система мотивации и отпуска. 

Одной из особенностей Conti является использование свежих уязвимостей, позволяющих получить первоначальный доступ к сетям. Так Conti были замечены в эксплуатации недавних CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в модуле log4j. Меньше чем через неделю Conti использовала эти уязвимости для атак на vCenter. Кроме этого, в Conti есть специалисты, имеющие опыт в поиске Zero Day уязвимостей.

Цитата

«Повышенная активность Conti и „слив данных“ позволили окончательно убедиться в том, что шифровальщики — уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире, — замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Threat Intelligence Group-IB — В этой индустрии Conti — заметный игрок, создавший фактически IT-компанию, цель которой — вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее „дробление“ на маленькие подпроекты — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих „дочерних“ проектов». 

 

james_sun в 18:09 23 июн 2022

Комментарии:

  • Оставить комментарий
  • Celeir 23 июн 2022 18:22:23

    Нет бы сообща рак вылечить или решить любую другую важную проблему. Вот же ж убогое приложение знаний.

  • romka 23 июн 2022 18:42:44

    Вот это статейка! Блин, вот из-за таких “успешных” хакеров, Россию ещё чаще будут обвинять сетевых атаках. Пришла слава, какой не ждали :biggrin: .

  • Freeman665 23 июн 2022 18:46:11

    интересно, Дзюбу не они взломали, случаем...)

    @romka будто раньше не обвиняли. Еще когда Трамп к власти пришел, были разговоры, якобы русские хакеры подсобили. А было это еще в 2017-м.

  • Freeman665 23 июн 2022 19:17:15

    @Evangelion_1 судя по рейтингу тамошнего президента, никаких кибератак не потребуется)

  • Evangelion_1 23 июн 2022 19:19:38
    Freeman665 в 19:17 23 июн 2022 сказал:

    @Evangelion_1 судя по рейтингу тамошнего президента, никаких кибератак не потребуется)

    это очевидно, но виноваты то опять будут “злые русские”. Хотя исходя из того что он наделал и продолжает творить, согласно конспирологии, вовсе не Трамп был ставленником Путина… многоходовочка :biggrin:

  • al79spb 23 июн 2022 19:22:43
    romka в 18:42 23 июн 2022 сказал:

    Россию ещё чаще будут обвинять

    Ты как с луны свалился! :D Кошка бросила котят - это Путин виноват...запад по **зде пошел наложив на РФ санкции — это Путин виноват…..отказываются чинить по контракту газовую турбину (-40% газа европке) это Путин виноват...они там все наркоманы! :D

  • romka 23 июн 2022 19:34:27
    Freeman665 в 18:46 23 июн 2022 сказал:

    будто раньше не обвиняли

    Поэтому и говорю, что ещё чаще станут :wink: .

    al79spb в 19:22 23 июн 2022 сказал:

    они там все наркоманы

    Наркоманы или нет, но на кого свалить знают, тем более, когда и почва готова — русские хакеры получают всемирную известность. В такое не сложно поверить, когда хочется и изо дня в день в уши вливают пропаганду про плохих и могучих русских :biggrin: .

  • Freeman665 23 июн 2022 19:38:48
    romka в 19:34 23 июн 2022 сказал:

    В такое не сложно поверить, когда хочется и изо дня в день в уши вливают пропаганду про плохих и могучих русских

    вот кстати не совсем согласен, европейский и американский народ потихоньку начинает уставать от этого, тем более европейцы лично столкнулись с представителями “древнейшей нации планеты” и у них начала закрадываться мысль: “может, русские были не так уж и неправы и с ЭТИМИ просто нельзя по-хорошему?”.

  • al79spb 23 июн 2022 19:44:14

    @romka Так с развитием технологий с 2000 людишки начали стремительно деградировать и превр. в тупых идиотов :D

  • romka 23 июн 2022 19:46:36
    Freeman665 в 19:38 23 июн 2022 сказал:

    европейский и американский народ потихоньку начинает уставать от этого

    Не буду спорить, на пульсе не держу. Честно говоря понятия не имею, какие у них сейчас бурления происходят. Ссылаюсь в основном на прошлые движения в массах, которые подавались через СМИ. Такая себе достоверность, другой не имею :biggrin: .

  • al79spb 23 июн 2022 19:49:28

    @romka Посмотри на ютубе Такера Карлсона!...ты очень удивишься тому что происходет в ЮСА :D

  • Freeman665 23 июн 2022 19:51:27

    @romka просто попадались ролики нескольких наших соотечественников из Испании, США и Германии. Цены на продукты и коммуналку нехило подросли, так еще и на “бешенцев” часть налогов уходит. Люди, разумеется, недовольны, тем более видят, что приезжие работать особо не хотят и только ждут пособий. Не все, разумеется, но процент таковых неприлично высок.

  • Alice 23 июн 2022 21:25:03
    al79spb в 19:22 23 июн 2022 сказал:

    Ты как с луны свалился! :D Кошка бросила котят - это Путин виноват...запад по **зде пошел наложив на РФ санкции — это Путин виноват…..отказываются чинить по контракту газовую турбину (-40% газа европке) это Путин виноват...они там все наркоманы! :D

    не преувеличивай. санкции наложили так как по его командованию Русаки напала на чужую страну

  • Gamadrila 23 июн 2022 22:28:33

    И ниодного примера, кого они там ломанули. Я думаю очередной фейк. Как то читал давно в одно статье в инете, что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт.

  • Hammer69 24 июн 2022 06:49:06
    Gamadrila в 22:28 23 июн 2022 сказал:

    что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт

    Ну да ,ну да...:lol:

  • DarkHunterRu 24 июн 2022 08:00:11

    Три вопроса.

    Где источники?

    Как узнали, что хакеры русскоязычные?

    Причем тут ЗоГ?

  • pashok6798 24 июн 2022 08:43:30

    Надеюсь, данные не окажутся пустыми xls файлами и mkv роликами, как было у анонимусов. :D

  • edifiei 24 июн 2022 09:10:31
    Alice в 21:25 23 июн 2022 сказал:

    не преувеличивай. санкции наложили так как по его командованию Русаки напала на чужую страну

    Санкции(когда больше,когда меньше) были всю историю РФ(хотя вроде не СССР уже и “друг Бил”,а вон оно что),даже поправку ДВ отменили , что бы тут же ввести акт Магнитского.

  • mc-smail 24 июн 2022 12:26:07
    al79spb в 19:22 23 июн 2022 сказал:

    Кошка бросила котят - это Путин виноват...

    Байден как-то назвал, все страдания экономики Америки это Путинские налоги. Я когда такое услышал, подумал, вот Вова молодец, даже Америку смог налогами обложить))

  • Gamadrila 24 июн 2022 16:26:33
    Hammer69 в 06:49 24 июн 2022 сказал:
    Gamadrila в 22:28 23 июн 2022 сказал:

    что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт

    Ну да ,ну да...:lol:

    Лет 5-10 назад, не знаю как сейчас, были предприятие у которых компьютерные сети не были физически подключена к интернету. Ну вы наверное знаете алгоритм вируса, который туда оптоволокно закинет или вайфай настроет, без участие человека. Так вот поведайте мне об этом.

    А сейчас в эпоху интернета люди сами сливают о себе информацию вплоть до банковской тайны, даже подкупать никого не надо. Раньше говорили что это дети всё взламывали, потому что в США там какой то закон был что к ответственности их нельзя притянуть, а теперь другое говорят.

  • Hammer69 25 июн 2022 10:53:16
    Gamadrila в 16:26 24 июн 2022 сказал:

    Лет 5-10 назад, не знаю как сейчас, были предприятие у которых компьютерные сети не были физически подключена к интернету. Ну вы наверное знаете алгоритм вируса, который туда оптоволокно закинет или вайфай настроет, без участие человека. Так вот поведайте мне об этом.

    Любое предприятие (есть оочень маленькие исключения ) занимающиеся коммерческой деятельностью имеет доступ во внешний интернет.

    Что значит “без участие человека”? Для этого необязательно сидеть за этим терминалом ,для этого существует удаленный доступ. Как его получить это уже вопрос другой. Где то возможно недостаточно квалифицированный или ленивый админ и изучение свежих багрепортов. Ну вкратце как то так.

  • Pixel Castle 25 июн 2022 11:28:01
    mc-smail в 12:26 24 июн 2022 сказал:

    Байден как-то назвал, все страдания экономики Америки это Путинские налоги.

    Если это Путинские налоги, то почему их платят не в рублях и не через российские банки? Непорядок!

    Цитата

    в среднем, вымогатели работают по 14 часов в день 7 дней в неделю.

    Совсем себя не берегут с таким графиком.

    Цитата

    негласного правила киберкриминала «не работать по Ру»

    Злые русские хакеры настолько злые и настолько русские, что кибератаки по российским компаниям — себе дороже.

  • UsernoName000 25 июн 2022 11:34:22
    Freeman665 в 19:17 23 июн 2022 сказал:

    судя по рейтингу тамошнего президента

    рейтинг нетамошнего президента в студию! Только реальный, а не нарисованный.

  • Freeman665 25 июн 2022 15:50:15

    @UsernoName000 тебе какую правду, удобную или не очень?:D

  • Gamadrila 25 июн 2022 22:50:24
    Hammer69 в 10:53 25 июн 2022 сказал:

    Любое предприятие (есть оочень маленькие исключения ) занимающиеся коммерческой деятельностью имеет доступ во внешний интернет.

    Может быть и так, но на предприятии бывают больше чем одна сеть. Раньше я такое встречал, техническая документация по одной и там не было подключения к интернету, но были и другие меры. В одной из тем писали что в суде “официально” тоже интернета вроде как нет.

    Это я привел пример где никак без участие изнутри ничего не вытащишь. А так самое простое и очевидное решение подкупить человека и никаким гением тут быть не надо, а потом списать что дескать это какеры сделали.

  • UsernoName000 26 июн 2022 07:36:30

    @Freeman665 ну ты обе напиши, а там уж решим, какая из правд более правдивая.:D

  • Freeman665 26 июн 2022 11:08:56

    @UsernoName000 меньше 146%, но больше, чем у наркоклоуна и дедушки Джо вместе взятых.:D

  • UsernoName000 26 июн 2022 16:14:53

    @Freeman665 нуууу, ты прям омеригу открыл.:D Про тогдашние 146 и нынешние нарисованные 80 я и так знаю.:D

  • Freeman665 26 июн 2022 20:42:54

    @UsernoName000 ну нарисуй себе “правдивый” рейтинг в 10 или сколько хочешь процентов и радуйся, кто ж против-то?:D

  • UsernoName000 27 июн 2022 06:41:25

    @Freeman665 не, ну ты обещал некую правду, а на деле выходит просто пшик, ч.т.д.:D

  • Freeman665 27 июн 2022 08:24:15
    UsernoName000 в 06:41 27 июн 2022 сказал:

    ну ты обещал некую правду, а на деле выходит просто пшик

    не обещал, а “правду” можешь послушать на радио свободы или других каналах подобного толка.

    “Других писателей у меня для вас нет”©

  • UsernoName000 01 июл 2022 08:03:19

    @Freeman665 ну тут ни на какое радио ходить не надо, один график ковидлы показывает всю суть “правды” всяких рейтингов:D

    Скрытый текст

    BEZYMYNNYI.jpg

  • Оставить комментарий