Аккаунты (программы-вымогатели)

Счета
Формирование	декабрь 2019 г.
Тип	Вредоносное ПО, программы-вымогатели как услуга (RaaS)

Conti — вредоносное ПО , разработанное и впервые использованное российской хакерской группой Wizard Spider в декабре 2019 года. ^{[ 1 ]}^{[ 2 ]} С тех пор эта операция превратилась в полноценную операцию «программы-вымогатели как услуга» (RaaS), используемую многочисленными группами злоумышленников для проведения атак с использованием программ-вымогателей .

Вредоносная программа Conti, однажды развернутая на устройстве жертвы, не только шифрует данные на устройстве, но и распространяется на другие устройства в сети, маскирует свое присутствие и обеспечивает удаленный контроль злоумышленника над своими действиями на объекте. ^{[ 1 ]} Известно, что эта проблема касается всех версий Microsoft Windows. ^{[ 3 ]} В начале мая 2022 года правительство США предложило вознаграждение в размере до 10 миллионов долларов за информацию о группе. ^{[ 4 ]}

Описание

Модель RaaS

Согласно просочившейся инструкции , основные члены команды операции Conti управляют самим вредоносным ПО , а завербованным филиалам поручено эксплуатировать сети жертв и шифровать их устройства. ^{[ 5 ]}^{[ 6 ]}

Программа-вымогатель Conti как модель обслуживания отличается по своей структуре от типичной партнерской модели. В отличие от других моделей RaaS, группы, использующие модель Conti, скорее всего, платят распространителям вредоносного ПО заработную плату, а не процент от выкупа (после уплаты). ^{[ 7 ]} Также известно, что операторы Конти используют двойное вымогательство как средство принуждения жертв к оплате, включая публикацию украденных данных жертвы. В тех случаях, когда организация-жертва отказывается платить, она продает доступ к организации другим злоумышленникам. ^{[ 8 ]}

Тактика и техника

Программа-вымогатель Conti использует различные методы скрытности, в том числе использование BazarLoader, для проникновения в свои целевые системы. Программа-вымогатель предназначена для шифрования файлов и делает их недоступными до тех пор, пока не будет выплачен выкуп. Он часто доставляется через фишинговые электронные письма, наборы эксплойтов или взломанные веб-сайты. ^{[ 1 ]} Conti приобрела известность благодаря нападениям на учреждения здравоохранения, о чем свидетельствуют его нападения на организации в Ирландии и Новой Зеландии . ^{[ 9 ]}

Известно также, что группа Конти продавала доступ организациям-жертвам, которые отказывались платить выкуп . Такая практика не только создает еще один уровень давления на жертв, но и обеспечивает дополнительный источник дохода для банды вымогателей. Эта тактика в сочетании со сложными методами группы сделала Conti одной из самых плодовитых и способных групп, занимающихся вымогательством, действующих в 2021 году. ^{[ 9 ]}

Программное обеспечение использует собственную реализацию AES-256 , которая использует до 32 отдельных логических потоков, что делает его намного быстрее, чем большинство программ-вымогателей. ^{[ 3 ]} Способ доставки не ясен. ^{[ 3 ]}

Банда, стоящая за Конти, с 2020 года управляет сайтом, с которого может сливаться документы, скопированные программой-вымогателем. ^{[ 10 ]} Эта же банда управляла программой-вымогателем Ryuk . ^{[ 10 ]} Группа известна как Wizard Spider и базируется в Санкт-Петербурге , Россия . ^{[ 11 ]}

Попав в систему, он попытается удалить теневые копии томов . ^{[ 3 ]} Он попытается завершить работу ряда служб с помощью Restart Manager, чтобы гарантировать возможность шифрования используемых ими файлов. ^{[ 3 ]} Это отключит мониторинг в реальном времени и удалит приложение Защитника Windows. По умолчанию все файлы на локальных и сетевых дисках Server Message Block шифруются , игнорируя файлы с расширениями DLL , .exe , .sys и .lnk . ^{[ 3 ]} Он также может ориентироваться на определенные диски, а также на отдельные IP-адреса. ^{[ 3 ]}^{[ 12 ]}

По данным NHS Digital, единственный гарантированный способ восстановления — это восстановление всех затронутых файлов из последней резервной копии. ^{[ 3 ]}

Членство и структура

Самый старший член известен под псевдонимами Штерн или Демон и выступает в качестве генерального директора . ^{[ 13 ]} Другой участник, известный как Манго, выступает в роли генерального менеджера и часто общается со Стерном. ^{[ 13 ]} Манго в одном сообщении сообщил Стерну, что в основной команде 62 человека. ^{[ 13 ]} Число участников колеблется и достигает 100. ^{[ 13 ]} Из-за постоянной текучести членов группа постоянно набирает новых сотрудников с законных сайтов по поиску работы и хакерских сайтов. ^{[ 13 ]}

Обычные программисты зарабатывают от 1500 до 2000 долларов в месяц, а участники, договаривающиеся о выплате выкупа, могут получить часть прибыли. ^{[ 13 ]} В апреле 2021 года один из участников заявил, что у него есть неназванный журналист, который получил 5% от платежей за программы-вымогатели, заставляя жертв платить. ^{[ 13 ]}

В мае 2022 года правительство США предложило вознаграждение в размере до 15 миллионов долларов за информацию о группе: 10 миллионов долларов за личность или местонахождение ее лидеров и 5 миллионов долларов за информацию, ведущую к аресту любого, кто вступил в сговор с ней. ^{[ 14 ]}

Затронутые отрасли и страны

Атаки программ-вымогателей Conti были обнаружены по всему миру, при этом в США произошло наибольшее количество попыток атак с 1 января по 12 ноября 2021 года, превысившее один миллион попыток. Нидерланды и Тайвань заняли второе и третье места соответственно. ^{[ 9 ]}

Розничная торговля стала основной целью атак Conti, за ней следуют секторы страхования, производства и телекоммуникаций. Здравоохранение, которое стало объектом громких атак группы Конти, занимает шестое место в списке пострадавших отраслей. ^{[ 9 ]}

История

Источник

Conti часто считают преемником программы-вымогателя Ryuk. ^{[ 9 ]}

Утечки

Во время российского вторжения в Украину в 2022 году Conti Group заявила о своей поддержке России и пригрозила применить «ответные меры», если кибератаки . против страны будут совершены ^{[ 15 ]}^{[ 16 ]}^{[ 13 ]} В результате около 60 000 сообщений из журналов внутренних чатов были слиты анонимом, который заявил о своей поддержке Украины. ^{[ 17 ]}^{[ 18 ]}^{[ 19 ]} вместе с исходным кодом и другими файлами, используемыми группой. ^{[ 20 ]}^{[ 13 ]}^{[ 21 ]}

Утечки охватывают период с начала 2020 года по 27 февраля 2022 года и включают более 60 000 сообщений в чате. ^{[ 13 ]} Большинство просочившихся сообщений были прямыми сообщениями, отправленными через Jabber . ^{[ 13 ]} Атаки координировались с помощью Rocket.chat . ^{[ 13 ]} Утечки фрагментированы. ^{[ 13 ]}

В некоторых сообщениях обсуждаются действия Cozy Bear по взлому исследователей COVID-19 . ^{[ 22 ]} Кимберли Гуди, директор по анализу киберпреступности в Mandiant, говорит, что ссылки на неназванный внешний источник в журналах могут быть полезны банде. ^{[ 22 ]} она указывает на упоминание в утечках информации о Литейном проспекте в Санкт-Петербурге , где расположены местные отделения ФСБ . В качестве доказательства того, что внешним источником может быть российское правительство, ^{[ 22 ]}

Мнения, выраженные в утечках, включают поддержку Владимира Путина , Владимира Жириновского и антисемитизм , в том числе в отношении Владимира Зеленского . ^{[ 23 ]} Член организации, известный как Патрик, повторил несколько ложных заявлений Путина об Украине. ^{[ 23 ]} Патрик живет в Австралии и может быть гражданином России. ^{[ 23 ]}

Некоторые сообщения демонстрируют одержимость Брайаном Кребсом . ^{[ 23 ]}

В сообщениях активно используется мат . ^{[ 23 ]} сообщения, содержащие гомофобию , женоненавистничество и упоминания о жестоком обращении с детьми. Также были обнаружены ^{[ 23 ]}

Растворение

Через несколько недель после утечки группа распалась. ^{[ 24 ]} В отчете Recorded Future говорится, что они не считают, что утечка не была прямой причиной роспуска, но что она ускорила уже существующую напряженность внутри группы. ^{[ 24 ]}

Известные цели

См. также

Ссылки

^ Jump up to: ^а ^б ^с «Conti, Программное обеспечение S0575 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 31 мая 2024 г.
^ Команда The CrowdStrike Intel (16 октября 2020 г.). «Wizard Spider изменяет и расширяет набор инструментов [Обновление противника]» . www.crowdstrike.com . Проверено 31 мая 2024 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час «Программа-вымогатель Conti» . Национальная служба здравоохранения цифров . 9 июля 2020 г. Проверено 14 мая 2021 г.
^ «Учетные записи программ-вымогателей | CISA» . www.cisa.gov . 9 марта 2022 г. Проверено 31 мая 2024 г.
^ «Аффилиат программы-вымогателя Angry Conti раскрывает план атаки банды» . Мигающий компьютер . Проверено 31 мая 2024 г.
^ «Переведено: выводы Талоса из недавно опубликованного руководства по вымогательству Conti» . Блог Cisco Talos . 2 сентября 2021 г. Проверено 31 мая 2024 г.
^ «Программа-вымогатель Conti | CISA» . www.cisa.gov . 9 марта 2022 г. Проверено 9 июля 2023 г.
^ «В центре внимания программы-вымогатели: Conti — новости безопасности» . www.trendmicro.com . Проверено 31 мая 2024 г.
^ Jump up to: ^а ^б ^с ^д ^и «В центре внимания программы-вымогатели: Conti — новости безопасности» . www.trendmicro.com . Проверено 9 июля 2023 г.
^ Jump up to: ^а ^б Чимпану, Каталин (25 августа 2020 г.). «Конти (Рюк) пополняет ряды банд вымогателей, управляющих сайтами утечки данных» . ЗДНет . Проверено 15 мая 2021 г.
^ Jump up to: ^а ^б ^с ^д Корфилд, Гарет (14 мая 2021 г.). «Больницы отменяют амбулаторные приемы, поскольку ирландская служба здравоохранения поражена программой-вымогателем» . Регистр . Проверено 15 мая 2021 г.
^ Чимпану, Каталин (9 июля 2020 г.). «Программа-вымогатель Conti использует 32 одновременных потока процессора для невероятно быстрого шифрования» . ЗДНет . Проверено 14 мая 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Берджесс, Мэтт (16 марта 2022 г.). «Повседневная жизнь самой опасной в мире банды программ-вымогателей» . Проводная Великобритания . Проверено 21 марта 2022 г.
^ Бич, Эрик (7 мая 2022 г.). «США предлагают вознаграждение в размере 15 миллионов долларов за информацию о группе вымогателей Conti» . Рейтер.
^ Райхерт, Корин (25 февраля 2022 г.). «Группа вирусов-вымогателей Conti предупреждает о возмездии, если Запад начнет кибератаку на Россию» . CNET . Проверено 2 марта 2022 г.
^ Бинг, Кристофер (25 февраля 2022 г.). «Российская группа по распространению программ-вымогателей Conti предупреждает противников Кремля» . Рейтер . Проверено 2 марта 2022 г.
^ Корфилд, Гарет (28 февраля 2022 г.). «Утекло 60 000 сообщений банды-вымогателя Conti» . Регистр . Проверено 2 марта 2022 г.
^ Хамфрис, Мэтью (28 февраля 2022 г.). «Поддержка России имеет неприятные последствия из-за утечки внутренних чатов банды-вымогателя Конти» . PCMag . Проверено 2 марта 2022 г.
^ Фейфе, Корин (28 февраля 2022 г.). «Группа вымогателей заплатила цену за поддержку России» . Грань . Проверено 2 марта 2022 г.
^ «Утечка программы-вымогателя Conti» . Вредоносные байты . 1 марта 2022 года . Проверено 2 марта 2022 г.
^ «Я могу драться с помощью клавиатуры»: Как один украинский ИТ-специалист разоблачил пресловутую российскую банду программ-вымогателей CNN. 2022.
^ Jump up to: ^а ^б ^с Берджесс, Мэтт (18 марта 2022 г.). «Утечка документов о программах-вымогателях показывает, что Конти помогает Путину выйти из тени» . Проводная Великобритания . Проверено 21 марта 2022 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж Ли, Мика (14 марта 2022 г.). «Утечка чатов показывает, что российская банда программ-вымогателей обсуждает вторжение Путина в Украину» . Перехват . Проверено 21 марта 2022 г.
^ Jump up to: ^а ^б Хардкасл, Джессика Лайонс (24 февраля 2023 г.). «Вторжение в Украину взорвало российские киберпреступные альянсы» . Регистр . Проверено 25 февраля 2023 г.
^ «В больницах Вайкато произошел инцидент, связанный с кибербезопасностью» . Радио Новой Зеландии . 18 мая 2021 г. Проверено 18 мая 2021 г.
^ «Службы Shutterfly были прерваны атакой программы-вымогателя Conti» . Пипящий компьютер . 27 декабря 2021 г. Проверено 27 декабря 2021 г.
^ «Гигант KP Snacks пострадал от программы-вымогателя Conti» . Пипящий компьютер . 22 января 2022 г. Проверено 22 января 2022 г.
^ Ступп, Екатерина (12 января 2022 г.). «Внутри атаки программы-вымогателя в отелях Nordic Choice» . Уолл Стрит Джорнал . ISSN 0099-9660 . Проверено 15 июля 2022 г.

[:0-1] Jump up to: ^а ^б ^с «Conti, Программное обеспечение S0575 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 31 мая 2024 г.

[2] Команда The CrowdStrike Intel (16 октября 2020 г.). «Wizard Spider изменяет и расширяет набор инструментов [Обновление противника]» . www.crowdstrike.com . Проверено 31 мая 2024 г.

[nhs-digital-conti-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час «Программа-вымогатель Conti» . Национальная служба здравоохранения цифров . 9 июля 2020 г. Проверено 14 мая 2021 г.

[4] «Учетные записи программ-вымогателей | CISA» . www.cisa.gov . 9 марта 2022 г. Проверено 31 мая 2024 г.

[5] «Аффилиат программы-вымогателя Angry Conti раскрывает план атаки банды» . Мигающий компьютер . Проверено 31 мая 2024 г.

[6] «Переведено: выводы Талоса из недавно опубликованного руководства по вымогательству Conti» . Блог Cisco Talos . 2 сентября 2021 г. Проверено 31 мая 2024 г.

[7] «Программа-вымогатель Conti | CISA» . www.cisa.gov . 9 марта 2022 г. Проверено 9 июля 2023 г.

[8] «В центре внимания программы-вымогатели: Conti — новости безопасности» . www.trendmicro.com . Проверено 31 мая 2024 г.

[:022-9] Jump up to: ^а ^б ^с ^д ^и «В центре внимания программы-вымогатели: Conti — новости безопасности» . www.trendmicro.com . Проверено 9 июля 2023 г.

[zdnet-conti-10] Jump up to: ^а ^б Чимпану, Каталин (25 августа 2020 г.). «Конти (Рюк) пополняет ряды банд вымогателей, управляющих сайтами утечки данных» . ЗДНет . Проверено 15 мая 2021 г.

[tr-ireland_hse_ransomware_hospital_conti_wizardspider-11] Jump up to: ^а ^б ^с ^д Корфилд, Гарет (14 мая 2021 г.). «Больницы отменяют амбулаторные приемы, поскольку ирландская служба здравоохранения поражена программой-вымогателем» . Регистр . Проверено 15 мая 2021 г.

[zdnet-conti-ransomware-uses-32-simultaneous-cpu-threads-12] Чимпану, Каталин (9 июля 2020 г.). «Программа-вымогатель Conti использует 32 одновременных потока процессора для невероятно быстрого шифрования» . ЗДНет . Проверено 14 мая 2021 г.

[wired-workaday-life-13] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Берджесс, Мэтт (16 марта 2022 г.). «Повседневная жизнь самой опасной в мире банды программ-вымогателей» . Проводная Великобритания . Проверено 21 марта 2022 г.

[14] Бич, Эрик (7 мая 2022 г.). «США предлагают вознаграждение в размере 15 миллионов долларов за информацию о группе вымогателей Conti» . Рейтер.

[15] Райхерт, Корин (25 февраля 2022 г.). «Группа вирусов-вымогателей Conti предупреждает о возмездии, если Запад начнет кибератаку на Россию» . CNET . Проверено 2 марта 2022 г.

[16] Бинг, Кристофер (25 февраля 2022 г.). «Российская группа по распространению программ-вымогателей Conti предупреждает противников Кремля» . Рейтер . Проверено 2 марта 2022 г.

[17] Корфилд, Гарет (28 февраля 2022 г.). «Утекло 60 000 сообщений банды-вымогателя Conti» . Регистр . Проверено 2 марта 2022 г.

[18] Хамфрис, Мэтью (28 февраля 2022 г.). «Поддержка России имеет неприятные последствия из-за утечки внутренних чатов банды-вымогателя Конти» . PCMag . Проверено 2 марта 2022 г.

[19] Фейфе, Корин (28 февраля 2022 г.). «Группа вымогателей заплатила цену за поддержку России» . Грань . Проверено 2 марта 2022 г.

[20] «Утечка программы-вымогателя Conti» . Вредоносные байты . 1 марта 2022 года . Проверено 2 марта 2022 г.

[21] «Я могу драться с помощью клавиатуры»: Как один украинский ИТ-специалист разоблачил пресловутую российскую банду программ-вымогателей CNN. 2022.

[wired-leaked-ransomware-docs-show-conti-helping-putin-22] Jump up to: ^а ^б ^с Берджесс, Мэтт (18 марта 2022 г.). «Утечка документов о программах-вымогателях показывает, что Конти помогает Путину выйти из тени» . Проводная Великобритания . Проверено 21 марта 2022 г.

[intercept-leaked-chats-23] Jump up to: ^а ^б ^с ^д ^и ^ж Ли, Мика (14 марта 2022 г.). «Утечка чатов показывает, что российская банда программ-вымогателей обсуждает вторжение Путина в Украину» . Перехват . Проверено 21 марта 2022 г.

[tr-ukraine-invasion-blew-up-russian-cybercrime-alliances-24] Jump up to: ^а ^б Хардкасл, Джессика Лайонс (24 февраля 2023 г.). «Вторжение в Украину взорвало российские киберпреступные альянсы» . Регистр . Проверено 25 февраля 2023 г.

[25] «В больницах Вайкато произошел инцидент, связанный с кибербезопасностью» . Радио Новой Зеландии . 18 мая 2021 г. Проверено 18 мая 2021 г.

[26] «Службы Shutterfly были прерваны атакой программы-вымогателя Conti» . Пипящий компьютер . 27 декабря 2021 г. Проверено 27 декабря 2021 г.

[27] «Гигант KP Snacks пострадал от программы-вымогателя Conti» . Пипящий компьютер . 22 января 2022 г. Проверено 22 января 2022 г.

[28] Ступп, Екатерина (12 января 2022 г.). «Внутри атаки программы-вымогателя в отелях Nordic Choice» . Уолл Стрит Джорнал . ISSN 0099-9660 . Проверено 15 июля 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]