Русскоязычные вымогатели выложили данные более 850 международных компаний

[james_sun 11 849]

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.

---

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.

Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB «АРМАДА CONTI. КАМПАНИЯ ARMATTACK». С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство.

Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.

C июля 2020 года Conti начала активно использовать технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп. 

Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в скорбном списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года (включая апрель 2022 года). 

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их.

Сообщается, что Conti и их партнеры атакуют не только часто, но и быстро. Эксперты Group-IB проанализировали одну из самых молниеносных и продуктивных ее кампаний, которую назвали ARMattack. Она длилась чуть больше месяца — c 17 ноября 2021 по 20 декабря 2021, но оказалась супер-результативной: атакующим удалось скомпрометировать больше 40 организаций по всему миру. Большинство из них также же находились в США (37%), однако кампания интенсивно прошлась по Европе, оставив жертв в Германии (3%), Швейцарии (2%), Нидерландах, Испании, Франции, Чехии, Швеции, Дании (по 1%).

Согласно данным команды Group-IB Threat Intelligence, самая стремительная атака была проведена группой всего за 3 дня — ровно столько времени прошло от проникновения Conti в систему до ее шифрования. Group-IB впервые приводит анализ «рабочих часов» Conti: в среднем, вымогатели работают по 14 часов в день 7 дней в неделю. 

География атак Conti в целом довольно обширна и не включает Россию. Группа придерживается негласного правила киберкриминала «не работать по ру». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала «не работать по Ру», но и открыто заявляя, что являются «патриотами». 

Из-за этого в конце февраля в группе даже произошел «внутренний конфликт» — один из вымогателей «слил» внутреннюю переписку, данные о серверах злоумышленников, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 000 BTC. Из утечки стало известно, что у Conti — серьезные финансовые проблемы, «шеф» залег на дно, однако ее участники полны решимости перезапустить проект через 2–3 месяца. 

Несмотря на «удар в спину» и повышенное внимание со стороны правоохранительных органов, аппетиты у Conti только выросли — они атаковали не только крупные международные компании, но и целые государства. Апрельская «кибервойна» Conti против Коста-Рики привела к введению чрезвычайного положения в стране — это первый прецедент такого масштаба. 

По данным Group-IB, Conti довольно плотно взаимодействовали с другими операторами шифровальщиков. Например, с Ryuk, Maze (они даже взяли инструмент на тестирование, разреверсили и значительно улучшили свой собственный шифровальщик), Netwalker и Lockbit. Кроме этого, при исследовании кампании ARMattack, эксперты Group-IB обнаружили в арсенале злоумышленников не только описанные ранее Windows-инструменты, но еще Linux-шифровальщики Conti и Hive. 

При этом группа стремится к разработке уникальных инструментов, чтобы сравнение их кода не привело к выявлению общих паттернов — до слива переписки о том, что целые RaaS -«партнерки» являются подразделениями Conti, исследователи догадывались лишь по косвенным признакам. 

При этом взаимодействие было довольно обширным: иногда Conti «брали в работу» сетки у других «вендоров пробива», иногда сами же делились ими за скромные 20% от выручки. Как и у легального IT-стартапа, у Conti есть свои отделы HR, R&D, OSINT, тимлиды, регулярная выплата заработных плат, система мотивации и отпуска. 

Одной из особенностей Conti является использование свежих уязвимостей, позволяющих получить первоначальный доступ к сетям. Так Conti были замечены в эксплуатации недавних CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в модуле log4j. Меньше чем через неделю Conti использовала эти уязвимости для атак на vCenter. Кроме этого, в Conti есть специалисты, имеющие опыт в поиске Zero Day уязвимостей.

Цитата

«Повышенная активность Conti и „слив данных“ позволили окончательно убедиться в том, что шифровальщики — уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире, — замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Threat Intelligence Group-IB — В этой индустрии Conti — заметный игрок, создавший фактически IT-компанию, цель которой — вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее „дробление“ на маленькие подпроекты — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих „дочерних“ проектов». 

 

[Celeir 2 361]

Нет бы сообща рак вылечить или решить любую другую важную проблему. Вот же ж убогое приложение знаний.

[romka 3 784]

Вот это статейка! Блин, вот из-за таких “успешных” хакеров, Россию ещё чаще будут обвинять сетевых атаках. Пришла слава, какой не ждали  .

Изменено 23 июня, 2022 пользователем romka

[Freeman665 6 546]

интересно, Дзюбу не они взломали, случаем...)

@romka будто раньше не обвиняли. Еще когда Трамп к власти пришел, были разговоры, якобы русские хакеры подсобили. А было это еще в 2017-м.

[Freeman665 6 546]

@Evangelion_1 судя по рейтингу тамошнего президента, никаких кибератак не потребуется)

[EVilAngelion 1 907]

1 минуту назад, Freeman665 сказал:

@Evangelion_1 судя по рейтингу тамошнего президента, никаких кибератак не потребуется)

это очевидно, но виноваты то опять будут “злые русские”. Хотя исходя из того что он наделал и продолжает творить, согласно конспирологии, вовсе не Трамп был ставленником Путина… многоходовочка

[al79spb 145]

33 минуты назад, romka сказал:

Россию ещё чаще будут обвинять

Ты как с луны свалился!  Кошка бросила котят - это Путин виноват...запад по **зде пошел наложив на РФ санкции — это Путин виноват…..отказываются чинить по контракту газовую турбину (-40% газа европке) это Путин виноват...они там все наркоманы! 

[romka 3 784]

44 минуты назад, Freeman665 сказал:

будто раньше не обвиняли

Поэтому и говорю, что ещё чаще станут .

 

9 минут назад, al79spb сказал:

они там все наркоманы

Наркоманы или нет, но на кого свалить знают, тем более, когда и почва готова — русские хакеры получают всемирную известность.  В такое не сложно поверить, когда хочется и изо дня в день в уши вливают пропаганду про плохих и могучих русских  .

[Freeman665 6 546]

4 минуты назад, romka сказал:

В такое не сложно поверить, когда хочется и изо дня в день в уши вливают пропаганду про плохих и могучих русских 

вот кстати не совсем согласен, европейский и американский народ потихоньку начинает уставать от этого, тем более европейцы лично столкнулись с представителями “древнейшей нации планеты” и у них начала закрадываться мысль: “может, русские были не так уж и неправы и с ЭТИМИ просто нельзя по-хорошему?”.

Изменено 23 июня, 2022 пользователем Freeman665

[al79spb 145]

@romka Так с развитием технологий с 2000 людишки начали стремительно деградировать и превр. в тупых идиотов 

[romka 3 784]

7 минут назад, Freeman665 сказал:

европейский и американский народ потихоньку начинает уставать от этого

Не буду спорить, на пульсе не держу. Честно говоря понятия не имею, какие у них сейчас бурления происходят. Ссылаюсь в основном на прошлые движения в массах, которые подавались через СМИ. Такая себе достоверность, другой не имею  .

Изменено 23 июня, 2022 пользователем romka

[al79spb 145]

@romka Посмотри на ютубе Такера Карлсона!...ты очень удивишься тому что происходет в ЮСА 

[Freeman665 6 546]

@romka просто попадались ролики нескольких наших соотечественников из Испании, США и Германии. Цены на продукты и коммуналку нехило подросли, так еще и на “бешенцев” часть налогов уходит. Люди, разумеется, недовольны, тем более видят, что приезжие работать особо не хотят и только ждут пособий. Не все, разумеется, но процент таковых неприлично высок.

Изменено 23 июня, 2022 пользователем Freeman665

[Alice 20]

2 часа назад, al79spb сказал:

Ты как с луны свалился!  Кошка бросила котят - это Путин виноват...запад по **зде пошел наложив на РФ санкции — это Путин виноват…..отказываются чинить по контракту газовую турбину (-40% газа европке) это Путин виноват...они там все наркоманы! 

не преувеличивай. санкции наложили так как по его командованию Русаки напала на чужую страну

[Gamadrila 148]

И ниодного примера, кого они там ломанули. Я думаю очередной фейк. Как то читал давно в одно статье в инете, что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт.