Русскоязычные вымогатели выложили данные более 850 международных компаний
Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.
Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB «АРМАДА CONTI. КАМПАНИЯ ARMATTACK». С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство.
Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.
C июля 2020 года Conti начала активно использовать технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп.
Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в скорбном списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года (включая апрель 2022 года).
В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их.
Сообщается, что Conti и их партнеры атакуют не только часто, но и быстро. Эксперты Group-IB проанализировали одну из самых молниеносных и продуктивных ее кампаний, которую назвали ARMattack. Она длилась чуть больше месяца — c 17 ноября 2021 по 20 декабря 2021, но оказалась супер-результативной: атакующим удалось скомпрометировать больше 40 организаций по всему миру. Большинство из них также же находились в США (37%), однако кампания интенсивно прошлась по Европе, оставив жертв в Германии (3%), Швейцарии (2%), Нидерландах, Испании, Франции, Чехии, Швеции, Дании (по 1%).
Согласно данным команды Group-IB Threat Intelligence, самая стремительная атака была проведена группой всего за 3 дня — ровно столько времени прошло от проникновения Conti в систему до ее шифрования. Group-IB впервые приводит анализ «рабочих часов» Conti: в среднем, вымогатели работают по 14 часов в день 7 дней в неделю.
География атак Conti в целом довольно обширна и не включает Россию. Группа придерживается негласного правила киберкриминала «не работать по ру». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала «не работать по Ру», но и открыто заявляя, что являются «патриотами».
Из-за этого в конце февраля в группе даже произошел «внутренний конфликт» — один из вымогателей «слил» внутреннюю переписку, данные о серверах злоумышленников, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 000 BTC. Из утечки стало известно, что у Conti — серьезные финансовые проблемы, «шеф» залег на дно, однако ее участники полны решимости перезапустить проект через 2–3 месяца.
Несмотря на «удар в спину» и повышенное внимание со стороны правоохранительных органов, аппетиты у Conti только выросли — они атаковали не только крупные международные компании, но и целые государства. Апрельская «кибервойна» Conti против Коста-Рики привела к введению чрезвычайного положения в стране — это первый прецедент такого масштаба.
По данным Group-IB, Conti довольно плотно взаимодействовали с другими операторами шифровальщиков. Например, с Ryuk, Maze (они даже взяли инструмент на тестирование, разреверсили и значительно улучшили свой собственный шифровальщик), Netwalker и Lockbit. Кроме этого, при исследовании кампании ARMattack, эксперты Group-IB обнаружили в арсенале злоумышленников не только описанные ранее Windows-инструменты, но еще Linux-шифровальщики Conti и Hive.
При этом группа стремится к разработке уникальных инструментов, чтобы сравнение их кода не привело к выявлению общих паттернов — до слива переписки о том, что целые RaaS -«партнерки» являются подразделениями Conti, исследователи догадывались лишь по косвенным признакам.
При этом взаимодействие было довольно обширным: иногда Conti «брали в работу» сетки у других «вендоров пробива», иногда сами же делились ими за скромные 20% от выручки. Как и у легального IT-стартапа, у Conti есть свои отделы HR, R&D, OSINT, тимлиды, регулярная выплата заработных плат, система мотивации и отпуска.
Одной из особенностей Conti является использование свежих уязвимостей, позволяющих получить первоначальный доступ к сетям. Так Conti были замечены в эксплуатации недавних CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в модуле log4j. Меньше чем через неделю Conti использовала эти уязвимости для атак на vCenter. Кроме этого, в Conti есть специалисты, имеющие опыт в поиске Zero Day уязвимостей.
Цитата«Повышенная активность Conti и „слив данных“ позволили окончательно убедиться в том, что шифровальщики — уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире, — замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Threat Intelligence Group-IB — В этой индустрии Conti — заметный игрок, создавший фактически IT-компанию, цель которой — вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее „дробление“ на маленькие подпроекты — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих „дочерних“ проектов».
Нет бы сообща рак вылечить или решить любую другую важную проблему. Вот же ж убогое приложение знаний.
Вот это статейка! Блин, вот из-за таких “успешных” хакеров, Россию ещё чаще будут обвинять сетевых атаках. Пришла слава, какой не ждали .
интересно, Дзюбу не они взломали, случаем...)
@romka будто раньше не обвиняли. Еще когда Трамп к власти пришел, были разговоры, якобы русские хакеры подсобили. А было это еще в 2017-м.
@Evangelion_1 судя по рейтингу тамошнего президента, никаких кибератак не потребуется)
это очевидно, но виноваты то опять будут “злые русские”. Хотя исходя из того что он наделал и продолжает творить, согласно конспирологии, вовсе не Трамп был ставленником Путина… многоходовочка
Ты как с луны свалился! Кошка бросила котят - это Путин виноват...запад по **зде пошел наложив на РФ санкции — это Путин виноват…..отказываются чинить по контракту газовую турбину (-40% газа европке) это Путин виноват...они там все наркоманы!
Поэтому и говорю, что ещё чаще станут .
Наркоманы или нет, но на кого свалить знают, тем более, когда и почва готова — русские хакеры получают всемирную известность. В такое не сложно поверить, когда хочется и изо дня в день в уши вливают пропаганду про плохих и могучих русских .
вот кстати не совсем согласен, европейский и американский народ потихоньку начинает уставать от этого, тем более европейцы лично столкнулись с представителями “древнейшей нации планеты” и у них начала закрадываться мысль: “может, русские были не так уж и неправы и с ЭТИМИ просто нельзя по-хорошему?”.
@romka Так с развитием технологий с 2000 людишки начали стремительно деградировать и превр. в тупых идиотов
Не буду спорить, на пульсе не держу. Честно говоря понятия не имею, какие у них сейчас бурления происходят. Ссылаюсь в основном на прошлые движения в массах, которые подавались через СМИ. Такая себе достоверность, другой не имею .
@romka Посмотри на ютубе Такера Карлсона!...ты очень удивишься тому что происходет в ЮСА
@romka просто попадались ролики нескольких наших соотечественников из Испании, США и Германии. Цены на продукты и коммуналку нехило подросли, так еще и на “бешенцев” часть налогов уходит. Люди, разумеется, недовольны, тем более видят, что приезжие работать особо не хотят и только ждут пособий. Не все, разумеется, но процент таковых неприлично высок.
не преувеличивай. санкции наложили так как по его командованию Русаки напала на чужую страну
И ниодного примера, кого они там ломанули. Я думаю очередной фейк. Как то читал давно в одно статье в инете, что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт.
Ну да ,ну да...
Три вопроса.
Где источники?
Как узнали, что хакеры русскоязычные?
Причем тут ЗоГ?
Надеюсь, данные не окажутся пустыми xls файлами и mkv роликами, как было у анонимусов.
Санкции(когда больше,когда меньше) были всю историю РФ(хотя вроде не СССР уже и “друг Бил”,а вон оно что),даже поправку ДВ отменили , что бы тут же ввести акт Магнитского.
Байден как-то назвал, все страдания экономики Америки это Путинские налоги. Я когда такое услышал, подумал, вот Вова молодец, даже Америку смог налогами обложить))
Лет 5-10 назад, не знаю как сейчас, были предприятие у которых компьютерные сети не были физически подключена к интернету. Ну вы наверное знаете алгоритм вируса, который туда оптоволокно закинет или вайфай настроет, без участие человека. Так вот поведайте мне об этом.
А сейчас в эпоху интернета люди сами сливают о себе информацию вплоть до банковской тайны, даже подкупать никого не надо. Раньше говорили что это дети всё взламывали, потому что в США там какой то закон был что к ответственности их нельзя притянуть, а теперь другое говорят.
Любое предприятие (есть оочень маленькие исключения ) занимающиеся коммерческой деятельностью имеет доступ во внешний интернет.
Что значит “без участие человека”? Для этого необязательно сидеть за этим терминалом ,для этого существует удаленный доступ. Как его получить это уже вопрос другой. Где то возможно недостаточно квалифицированный или ленивый админ и изучение свежих багрепортов. Ну вкратце как то так.
Если это Путинские налоги, то почему их платят не в рублях и не через российские банки? Непорядок!
Совсем себя не берегут с таким графиком.
Злые русские хакеры настолько злые и настолько русские, что кибератаки по российским компаниям — себе дороже.
рейтинг нетамошнего президента в студию! Только реальный, а не нарисованный.
@UsernoName000 тебе какую правду, удобную или не очень?
Может быть и так, но на предприятии бывают больше чем одна сеть. Раньше я такое встречал, техническая документация по одной и там не было подключения к интернету, но были и другие меры. В одной из тем писали что в суде “официально” тоже интернета вроде как нет.
Это я привел пример где никак без участие изнутри ничего не вытащишь. А так самое простое и очевидное решение подкупить человека и никаким гением тут быть не надо, а потом списать что дескать это какеры сделали.
@Freeman665 ну ты обе напиши, а там уж решим, какая из правд более правдивая.
@UsernoName000 меньше 146%, но больше, чем у наркоклоуна и дедушки Джо вместе взятых.
@Freeman665 нуууу, ты прям омеригу открыл. Про тогдашние 146 и нынешние нарисованные 80 я и так знаю.
@UsernoName000 ну нарисуй себе “правдивый” рейтинг в 10 или сколько хочешь процентов и радуйся, кто ж против-то?
@Freeman665 не, ну ты обещал некую правду, а на деле выходит просто пшик, ч.т.д.
не обещал, а “правду” можешь послушать на радио свободы или других каналах подобного толка.
“Других писателей у меня для вас нет”©
@Freeman665 ну тут ни на какое радио ходить не надо, один график ковидлы показывает всю суть “правды” всяких рейтингов