Русскоязычные вымогатели выложили данные более 850 международных компаний

[james_sun 12 457]

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.

---

Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.

Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB «АРМАДА CONTI. КАМПАНИЯ ARMATTACK». С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство.

Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.

C июля 2020 года Conti начала активно использовать технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп. 

Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в скорбном списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года (включая апрель 2022 года). 

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их.

Сообщается, что Conti и их партнеры атакуют не только часто, но и быстро. Эксперты Group-IB проанализировали одну из самых молниеносных и продуктивных ее кампаний, которую назвали ARMattack. Она длилась чуть больше месяца — c 17 ноября 2021 по 20 декабря 2021, но оказалась супер-результативной: атакующим удалось скомпрометировать больше 40 организаций по всему миру. Большинство из них также же находились в США (37%), однако кампания интенсивно прошлась по Европе, оставив жертв в Германии (3%), Швейцарии (2%), Нидерландах, Испании, Франции, Чехии, Швеции, Дании (по 1%).

Согласно данным команды Group-IB Threat Intelligence, самая стремительная атака была проведена группой всего за 3 дня — ровно столько времени прошло от проникновения Conti в систему до ее шифрования. Group-IB впервые приводит анализ «рабочих часов» Conti: в среднем, вымогатели работают по 14 часов в день 7 дней в неделю. 

География атак Conti в целом довольно обширна и не включает Россию. Группа придерживается негласного правила киберкриминала «не работать по ру». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала «не работать по Ру», но и открыто заявляя, что являются «патриотами». 

Из-за этого в конце февраля в группе даже произошел «внутренний конфликт» — один из вымогателей «слил» внутреннюю переписку, данные о серверах злоумышленников, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 000 BTC. Из утечки стало известно, что у Conti — серьезные финансовые проблемы, «шеф» залег на дно, однако ее участники полны решимости перезапустить проект через 2–3 месяца. 

Несмотря на «удар в спину» и повышенное внимание со стороны правоохранительных органов, аппетиты у Conti только выросли — они атаковали не только крупные международные компании, но и целые государства. Апрельская «кибервойна» Conti против Коста-Рики привела к введению чрезвычайного положения в стране — это первый прецедент такого масштаба. 

По данным Group-IB, Conti довольно плотно взаимодействовали с другими операторами шифровальщиков. Например, с Ryuk, Maze (они даже взяли инструмент на тестирование, разреверсили и значительно улучшили свой собственный шифровальщик), Netwalker и Lockbit. Кроме этого, при исследовании кампании ARMattack, эксперты Group-IB обнаружили в арсенале злоумышленников не только описанные ранее Windows-инструменты, но еще Linux-шифровальщики Conti и Hive. 

При этом группа стремится к разработке уникальных инструментов, чтобы сравнение их кода не привело к выявлению общих паттернов — до слива переписки о том, что целые RaaS -«партнерки» являются подразделениями Conti, исследователи догадывались лишь по косвенным признакам. 

При этом взаимодействие было довольно обширным: иногда Conti «брали в работу» сетки у других «вендоров пробива», иногда сами же делились ими за скромные 20% от выручки. Как и у легального IT-стартапа, у Conti есть свои отделы HR, R&D, OSINT, тимлиды, регулярная выплата заработных плат, система мотивации и отпуска. 

Одной из особенностей Conti является использование свежих уязвимостей, позволяющих получить первоначальный доступ к сетям. Так Conti были замечены в эксплуатации недавних CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в модуле log4j. Меньше чем через неделю Conti использовала эти уязвимости для атак на vCenter. Кроме этого, в Conti есть специалисты, имеющие опыт в поиске Zero Day уязвимостей.

Цитата

«Повышенная активность Conti и „слив данных“ позволили окончательно убедиться в том, что шифровальщики — уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире, — замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Threat Intelligence Group-IB — В этой индустрии Conti — заметный игрок, создавший фактически IT-компанию, цель которой — вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее „дробление“ на маленькие подпроекты — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих „дочерних“ проектов». 

 

[Hammer69 84]

8 часов назад, Gamadrila сказал:

что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт

Ну да ,ну да...

[DarkHunterRu 4 070]

Три вопроса.

Где источники?

Как узнали, что хакеры русскоязычные?

Причем тут ЗоГ?

[Sudakov Pavel 834]

Надеюсь, данные не окажутся пустыми xls файлами и mkv роликами, как было у анонимусов.

[edifiei 6 200]

12 часов назад, Alice сказал:

не преувеличивай. санкции наложили так как по его командованию Русаки напала на чужую страну

Санкции(когда больше,когда меньше) были всю историю РФ(хотя вроде не СССР уже и “друг  Бил”,а вон оно что),даже поправку ДВ отменили , что бы тут же ввести акт Магнитского.

Изменено 24 июня, 2022 пользователем edifiei

[mc-smail 4 559]

17 часов назад, al79spb сказал:

Кошка бросила котят - это Путин виноват...

Байден как-то назвал, все страдания экономики Америки это Путинские налоги. Я когда такое услышал, подумал, вот Вова молодец, даже Америку смог налогами обложить)) 

[Gamadrila 158]

9 часов назад, Hammer69 сказал:

17 часов назад, Gamadrila сказал:

что в большинстве случаев, пока чел сам флешку с данными не вынесет, взлом не произойдёт

Ну да ,ну да...

Лет 5-10 назад, не знаю как сейчас, были предприятие у которых компьютерные сети не были физически подключена к интернету. Ну вы наверное знаете алгоритм вируса, который туда оптоволокно закинет или вайфай настроет, без участие человека. Так вот поведайте мне об этом.

 А сейчас в эпоху интернета люди сами сливают о себе информацию вплоть до банковской тайны, даже подкупать никого не надо. Раньше говорили что это дети всё взламывали, потому что в США там какой то закон был что к ответственности их нельзя притянуть, а теперь другое говорят.

[Hammer69 84]

18 часов назад, Gamadrila сказал:

Лет 5-10 назад, не знаю как сейчас, были предприятие у которых компьютерные сети не были физически подключена к интернету. Ну вы наверное знаете алгоритм вируса, который туда оптоволокно закинет или вайфай настроет, без участие человека. Так вот поведайте мне об этом.

Любое предприятие (есть оочень маленькие исключения ) занимающиеся коммерческой деятельностью имеет доступ во внешний интернет.

Что значит “без участие человека”? Для этого необязательно сидеть за этим терминалом ,для этого существует удаленный доступ. Как его получить это уже вопрос другой. Где то возможно недостаточно квалифицированный или ленивый админ и изучение свежих багрепортов. Ну вкратце как то так.

[Pixel Castle 118]

22 часа назад, mc-smail сказал:

Байден как-то назвал, все страдания экономики Америки это Путинские налоги.

Если это Путинские налоги, то почему их платят не в рублях и не через российские банки? Непорядок!

Цитата

в среднем, вымогатели работают по 14 часов в день 7 дней в неделю. 

Совсем себя не берегут с таким графиком.

Цитата

негласного правила киберкриминала «не работать по Ру»

Злые русские хакеры настолько злые и настолько русские, что кибератаки по российским компаниям — себе дороже.

[UsernoName000 45]

В 23.06.2022 в 21:17, Freeman665 сказал:

судя по рейтингу тамошнего президента

рейтинг нетамошнего президента в студию! Только реальный, а не нарисованный.

[Freeman665 7 795]

@UsernoName000 тебе какую правду, удобную или не очень?

[Gamadrila 158]

11 часов назад, Hammer69 сказал:

Любое предприятие (есть оочень маленькие исключения ) занимающиеся коммерческой деятельностью имеет доступ во внешний интернет.

Может быть и так, но на предприятии бывают больше чем одна сеть. Раньше я такое встречал, техническая документация по одной и там не было подключения к интернету, но были и другие меры. В одной из тем писали что в суде “официально” тоже интернета вроде как нет.

 Это я привел пример где никак без участие изнутри ничего не вытащишь. А так самое простое и очевидное решение подкупить человека и никаким гением тут быть не надо, а потом списать что дескать это какеры сделали. 

 

[UsernoName000 45]

@Freeman665 ну ты обе напиши, а там уж решим, какая из правд более правдивая.

[Freeman665 7 795]

@UsernoName000 меньше 146%, но больше, чем у наркоклоуна и дедушки Джо вместе взятых.

[UsernoName000 45]

@Freeman665 нуууу, ты прям омеригу открыл. Про тогдашние 146 и нынешние нарисованные 80 я и так знаю.

[Freeman665 7 795]

@UsernoName000 ну нарисуй себе “правдивый” рейтинг в 10 или сколько хочешь процентов и радуйся, кто ж против-то?