Conti (программа-вымогатель)

Группа вирусов-вымогателей, нацеленная в первую очередь на продукты Microsoft

Conti — вредоносное ПО , разработанное и впервые использованное российской хакерской группой « Wizard Spider » в декабре 2019 года. ^{[1] [2]} С тех пор оно превратилось в полноценную операцию по предоставлению программ-вымогателей как услуги (RaaS), используемую многочисленными группами злоумышленников для проведения атак с использованием программ-вымогателей .

Вредоносная программа Conti, будучи развернутой на устройстве жертвы, не только шифрует данные на устройстве, но и распространяется на другие устройства в сети, скрывает свое присутствие и предоставляет злоумышленнику удаленный контроль над своими действиями на объекте. ^[1] Известно, что все версии Microsoft Windows подвержены этой атаке. ^[3] Правительство США предложило вознаграждение в размере до 10 миллионов долларов за информацию о группе в начале мая 2022 года. ^[4]

Описание

Модель RaaS

Согласно просочившемуся плану действий, основные члены команды Conti управляют самим вредоносным ПО , в то время как нанятые партнеры занимаются эксплуатацией сетей жертв и шифрованием их устройств. ^{[5] [6]}

Модель вымогателя как услуги Conti отличается по своей структуре от типичной партнерской модели. В отличие от других моделей RaaS, группы, использующие модель Conti, скорее всего, платят разработчикам вредоносного ПО в виде заработной платы, а не в виде процента от выкупа (после уплаты). ^[7] Известно, что операторы Conti также используют двойное вымогательство в качестве средства давления на жертв, чтобы заставить их заплатить, включая публикацию украденных данных жертвы. В случаях, когда организация-жертва отказывается платить, они продают доступ к организации другим субъектам угроз. ^[8]

Тактика и приемы

Программа-вымогатель Conti использует различные скрытные методы, включая использование BazarLoader, для проникновения в целевые системы. Программа-вымогатель предназначена для шифрования файлов и делает их недоступными до тех пор, пока не будет заплачен выкуп. Она часто доставляется через фишинговые письма, наборы эксплойтов или взломанные веб-сайты. ^[1] Conti приобрела известность за то, что нацелилась на учреждения здравоохранения, как это было видно по ее атакам на организации в Ирландии и Новой Зеландии . ^[9]

Известно также, что группа Conti продает доступ к организациям-жертвам, которые отказались платить выкуп . Такая практика не только добавляет еще один уровень давления на жертв, но и обеспечивает дополнительный источник дохода для банды вымогателей. Эта тактика в сочетании с изощренными методами группы сделала Conti одной из самых плодовитых и способных групп вымогателей, действующих в 2021 году. ^[9]

Программное обеспечение использует собственную реализацию AES-256 , которая использует до 32 отдельных логических потоков, что делает его намного быстрее большинства программ-вымогателей. ^[3] Метод доставки не ясен. ^[3]

Банда, стоящая за Conti, управляла сайтом, с которого она могла сливать документы, скопированные программой-вымогателем, с 2020 года. ^[10] Эта же банда управляла программой-вымогателем Ryuk . ^[10] Группа известна как Wizard Spider и базируется в Санкт-Петербурге , Россия . ^[11]

Попав в систему, он попытается удалить теневые копии томов . ^[3] Он попытается завершить работу ряда служб с помощью диспетчера перезапуска , чтобы убедиться, что он может зашифровать используемые ими файлы. ^[3] Он отключит мониторинг в реальном времени и удалит приложение Защитника Windows. Поведение по умолчанию — шифровать все файлы на локальных и сетевых дисках Server Message Block , игнорируя файлы с расширениями DLL , .exe , .sys и .lnk . ^[3] Он также может нацеливаться на определенные диски, а также на отдельные IP-адреса. ^{[3] [12]}

По данным NHS Digital, единственный гарантированный способ восстановления — это восстановление всех затронутых файлов из последней резервной копии. ^[3]

Состав и структура

Самый старший член известен под псевдонимами Стерн или Демон и выступает в качестве генерального директора . ^[13] Другой член, известный как Манго, выступает в качестве генерального менеджера и часто общается со Стерном. ^[13] Манго сообщил Стерну в одном сообщении, что в основной команде 62 человека. ^[13] Численность участников колеблется, достигая 100. ^[13] Из-за постоянной текучести членов группа постоянно набирает людей с законных сайтов по подбору персонала и хакерских сайтов. ^[13]

Обычные программисты зарабатывают около 1500–2000 долларов в месяц, а участники, договаривающиеся о выплате выкупа, могут получить часть прибыли. ^[13] В апреле 2021 года один из участников заявил, что у него есть неназванный журналист, который забирает 5% от выплат за программы-вымогатели, оказывая давление на жертв, чтобы те заплатили. ^[13]

В мае 2022 года правительство США предложило вознаграждение в размере до 15 миллионов долларов за информацию о группе: 10 миллионов долларов за личность или местонахождение ее лидеров и 5 миллионов долларов за информацию, которая приведет к аресту любого, кто вступает с ней в сговор. ^[14]

Пострадавшие отрасли и страны

Атаки с использованием вируса-вымогателя Conti были зафиксированы по всему миру, при этом наибольшее количество попыток атак с 1 января по 12 ноября 2021 года зафиксировано в США, превысивших один миллион попыток. Второе и третье места заняли Нидерланды и Тайвань соответственно. ^[9]

Розничная торговля была основной целью атак Conti, за ней следовали секторы страхования, производства и телекоммуникаций. Здравоохранение, которое подверглось громким атакам группы Conti, занимает шестое место в списке пострадавших отраслей. ^[9]

История

Источник

Conti часто рассматривается как преемник вируса-вымогателя Ryuk. ^[9]

Утечки

Во время российского вторжения на Украину в 2022 году Conti Group объявила о своей поддержке России и пригрозила применить «ответные меры», если против страны будут предприняты кибератаки . ^{[15] [16] [13]} В результате около 60 000 сообщений из внутренних журналов чатов были слиты анонимным лицом, которое указало на свою поддержку Украины ^{[17] [18] [19]} вместе с исходным кодом и другими файлами, используемыми группой. ^{[20] [13] [21]}

Утечки охватывают период с начала 2020 года по 27 февраля 2022 года и состоят из более чем 60 000 сообщений чата. ^[13] Большинство утечек сообщений были отправлены напрямую через Jabber . ^[13] Атаки координировались с помощью Rocket.chat. ^[13] Утечки фрагментированы. ^[13]

В некоторых сообщениях обсуждаются действия Cozy Bear по взлому исследователей COVID-19 . ^[22] Кимберли Гуди, директор по анализу киберпреступности в Mandiant, говорит, что ссылки на неназванный внешний источник в журналах могут быть полезны банде. ^[22] Она указывает на упоминание в утечках Литейного проспекта в Санкт-Петербурге , где находятся местные отделения ФСБ , как на доказательство того, что внешним источником может быть российское правительство. ^[22]

Взгляды, выраженные в утечках, включают поддержку Владимира Путина , Владимира Жириновского и антисемитизм , в том числе по отношению к Владимиру Зеленскому . ^[23] Участник, известный как Патрик, повторил несколько ложных утверждений, сделанных Путиным об Украине. ^[23] Патрик живет в Австралии и может быть гражданином России. ^[23]

Некоторые сообщения демонстрируют одержимость Брайаном Кребсом . ^[23]

В сообщениях часто используется мат . ^[23] Также были обнаружены сообщения, содержащие гомофобию , женоненавистничество и упоминания о жестоком обращении с детьми. ^[23]

Растворение

В течение нескольких недель после утечки группа распалась. ^[24] В отчете Recorded Future говорится, что они не считают, что утечка не была прямой причиной распада, но что она ускорила уже существующую напряженность внутри группы. ^[24]

Известные цели

• Шотландское агентство по охране окружающей среды ^[11]
• Толстое Лицо ^[11]
• Исполнительный директор службы здравоохранения в Республике Ирландия . ^[11]
• Совет по здравоохранению округа Вайкато в Новой Зеландии . ^[25]
• Шаттерфляй . ^[26]
• Закуски КП . ^[27]
• Отели Nordic Choice ^[28]

Смотрите также

• Clop (кибербанда)
• Королевская (кибербанда)
• LockBit

Ссылки

1. "Conti, Software S0575 | MITRE ATT&CK®". attack.mitre.org . Получено 31 мая 2024 г. .
2. Команда, The CrowdStrike Intel (16 октября 2020 г.). «Wizard Spider изменяет и расширяет набор инструментов [обновление противника]». crowdstrike.com . Получено 31 мая 2024 г. .
3. "Conti Ransomware". NHS Digital . 9 июля 2020 г. Получено 14 мая 2021 г.
4. "Программа-вымогатель Conti | CISA" . www.cisa.gov . 9 марта 2022 г. Проверено 31 мая 2024 г.
5. "Филиал вымогателя Angry Conti раскрыл схему атаки банды". BleepingComputer . Получено 31 мая 2024 г.
6. "Перевод: выводы Talos из недавно опубликованного руководства по борьбе с вымогателями Conti". Блог Cisco Talos . 2 сентября 2021 г. Получено 31 мая 2024 г.
7. "Программа-вымогатель Conti | CISA" . www.cisa.gov . 9 марта 2022 г. Проверено 9 июля 2023 г.
8. "В центре внимания программы-вымогатели: Conti - Новости безопасности". www.trendmicro.com . Получено 31 мая 2024 г.
9. "В центре внимания программы-вымогатели: Conti - Новости безопасности". www.trendmicro.com . Получено 9 июля 2023 г. .
10. Cimpanu, Catalin (25 августа 2020 г.). «Conti (Ryuk) присоединяется к рядам банд-вымогателей, эксплуатирующих сайты утечки данных». ZDNet . Получено 15 мая 2021 г. .
11. Корфилд, Гарет (14 мая 2021 г.). «Больницы отменяют амбулаторные приемы, поскольку ирландская служба здравоохранения подверглась атаке вируса-вымогателя». The Register . Получено 15 мая 2021 г.
12. Cimpanu, Catalin (9 июля 2020 г.). «Conti ransomware использует 32 одновременных потока ЦП для молниеносного шифрования». ZDNet . Получено 14 мая 2021 г. .
13. Берджесс, Мэтт (16 марта 2022 г.). «Рабочая жизнь самой опасной в мире банды вымогателей». Wired UK . Получено 21 марта 2022 г.
14. Бич, Эрик (7 мая 2022 г.). «США предлагают вознаграждение в размере 15 миллионов долларов за информацию о группе вымогателей Conti». Reuters.
15. Райхерт, Коринн (25 февраля 2022 г.). «Conti Ransomware Group предупреждает о возмездии, если Запад предпримет кибератаку на Россию». CNET . Получено 2 марта 2022 г.
16. Бинг, Кристофер (25 февраля 2022 г.). «Российская группа по разработке вирусов-вымогателей Conti предупреждает врагов Кремля». Reuters . Получено 2 марта 2022 г.
17. Корфилд, Гарет (28 февраля 2022 г.). «Утечка 60 000 сообщений банды вымогателей Conti». The Register . Получено 2 марта 2022 г.
18. Хамфрис, Мэтью (28 февраля 2022 г.). «Поддержка России дала обратный эффект, поскольку утечка внутренних чатов банды-вымогателя Conti». PCMag . Получено 2 марта 2022 г.
19. Фэйф, Корин (28 февраля 2022 г.). «Группа вымогателей заплатила цену за поддержку России». The Verge . Получено 2 марта 2022 г. .
20. "Утечка вируса-вымогателя Conti". Malwarebytes . 1 марта 2022 г. Получено 2 марта 2022 г.
21. «Я умею драться с помощью клавиатуры»: как украинский IT-специалист разоблачил известную российскую группировку, занимающуюся распространением вирусов-вымогателей CNN. 2022.
22. Берджесс, Мэтт (18 марта 2022 г.). «Утечка документов о программах-вымогателях показывает, что Конти помогает Путину из тени». Wired UK . Получено 21 марта 2022 г.
23. Ли, Мика (14 марта 2022 г.). «Утечка чатов показывает, что российская банда вымогателей обсуждает вторжение Путина в Украину». The Intercept . Получено 21 марта 2022 г.
24. Hardcastle, Джессика Лайонс (24 февраля 2023 г.). «Вторжение в Украину взорвало российские киберпреступные альянсы». The Register . Получено 25 февраля 2023 г. .
25. "Больницы Вайкато пострадали от инцидента, связанного с кибербезопасностью". Радио Новой Зеландии . 18 мая 2021 г. Получено 18 мая 2021 г.
26. "Работа сервисов Shutterfly нарушена атакой вируса-вымогателя Conti". Bleeping Computer . 27 декабря 2021 г. Получено 27 декабря 2021 г.
27. "Гигант KP Snacks пострадал от вируса-вымогателя Conti". Bleeping Computer . 22 января 2022 г. Получено 22 января 2022 г.
28. Стапп, Кэтрин (12 января 2022 г.). «Внутри атаки вымогателя в отелях Nordic Choice». Wall Street Journal . ISSN  0099-9660 . Получено 15 июля 2022 г.