信息來源:安全內(nèi)參
Conti于2019年首次被發(fā)現(xiàn)�����,現(xiàn)已成為網(wǎng)絡(luò)世界中最危險的勒索軟件之一�����,并以其在目標系統(tǒng)中加密和部署的速度快而聞名�����。Conti被認為是流行的Ryuk勒索軟件家族的變種�����。據(jù)FBI統(tǒng)計�����,Conti針對全球發(fā)起了400多次網(wǎng)絡(luò)攻擊�����,其中四分之三的目標位于美國�����,勒索金額高達2500萬美元�����。由此可見,Conti也是當(dāng)前最貪婪的勒索團伙之一�����。原本Conti和REvil都是俄羅斯勒索軟件團伙的主力軍�����。但是2022年1月11日�����,在美國當(dāng)局對俄羅斯施加壓力后�����,俄羅斯采取行動逮捕了REvil勒索團伙的成員�����。這使得Conti成為俄羅斯軟件團伙中的“牛耳”�����。
2月27日�����,Conti勒索軟件團伙的內(nèi)部聊天記錄因俄烏克沖突而遭到泄露�����。事件的基本過程如下:在聊天記錄披露之前�����,Conti承諾在俄羅斯入侵烏克蘭后支持俄羅斯政府�����;然而�����,其中一些成員選擇支持烏克蘭�����,導(dǎo)致該組織內(nèi)部發(fā)生沖突�����;兩天后,Conti發(fā)布了第二條消息�����,修改了此前的聲明�����,并且Twitter賬號@ContiLeaks發(fā)布了勒索軟件組織Conti的大量聊天記錄�����,其中包含Conti用于內(nèi)部交流的數(shù)十萬條Jabber和Rocket.Chat消息�����。
以下內(nèi)容是根據(jù)泄露的聊天記錄獲得的分析結(jié)果�����,由于泄露文件使用了加密服務(wù)�����,所以部分信息可能缺失�����。
Conti團伙的組織架構(gòu)
Conti團伙的核心成員
成員Stern :大boss�����,負責(zé)集團運營和與附屬公司合作�����,并直接和間接地管理許多人員和項目�����。
成員Bentley:技術(shù)負責(zé)人�����,負責(zé)測試和防御規(guī)避�����。
成員Mango:主要協(xié)調(diào)解決負責(zé)攻擊人員和開發(fā)人員之間的問題�����。
成員Buza:是一名技術(shù)管理者,負責(zé)開發(fā)和產(chǎn)品�����,在開發(fā)團隊中策劃加載器和bot的開發(fā)�����。
成員Target:負責(zé)管理黑客團隊�����,他還負責(zé)管理所有線下辦公場所�����。
成員Veron:與Emotet合作的樞紐�����,Veron正在與相關(guān)的Conti成員管理Emotet活動的所有資源�����,包括基礎(chǔ)設(shè)施�����。
Conti 的運營團隊幾乎符合一個經(jīng)典的科技公司層次結(jié)構(gòu)�����。環(huán)環(huán)相扣�����,各盡其責(zé)�����。Conti團伙擁有多個實體辦公室�����,這些由Stern的合伙人兼有效的辦公室主管Target運營�����,并且2020年線下辦公主要供測試人員、進攻團隊和談判人員使用�����。Target 還提到了2個專門為與受害者代表直接對話的辦公室�����。泄露的Rocket.Chat消息包括了在實體辦公室工作的攻擊團隊成員的通信�����,這表明Rocket.Chat很可能就安裝在Conti成員個人的移動終端上�����。
成員招募途徑
(1)獵頭網(wǎng)站headhunter.ru和superjobs.ru
因招聘目的通過第三方工具訪問 headhunter.ru 簡歷數(shù)據(jù)庫
(2)員工內(nèi)部推介
根據(jù)stern的聊天截圖�����,Conti成員內(nèi)部推薦可以獲得內(nèi)推獎金�����。
(3)暗網(wǎng)論壇尋找人才
REvil團伙曾經(jīng)做了一個宣傳噱頭�����,將 100萬美元的比特幣存入了一個賬戶�����,然后在討論該噱頭活躍度高的論壇帖子中發(fā)布招聘廣告�����。招聘廣告收到了許多帶有聯(lián)系方式的回復(fù)�����,且所有回復(fù)都是公開的�����,因此Conti團伙的HR可以從中篩選出一批高質(zhì)量的候選人�����,并向他們發(fā)送提供工作機會的郵件�����。
團伙未來的發(fā)展計劃
(1)推出加密系統(tǒng)
Conti 團伙的管理團隊不斷尋求新的方式來擴展業(yè)務(wù),其中一個想法是在組織內(nèi)部建立一套私有密鑰交換系統(tǒng)�����。
(2)暗網(wǎng)社交網(wǎng)絡(luò)
“暗網(wǎng)社交網(wǎng)絡(luò)”(又名:“VK for darknet”或“Carbon Black for hackers”)�����,這是一個受Stern啟發(fā)并由Mango實施的項目�����,計劃作為商業(yè)項目開發(fā)�����。
后記
從目前的情況看�����,在的敏感信息被泄露之后�����,Conti團伙清理了虛擬機并轉(zhuǎn)移到其他渠道進行溝通�����,并且團伙內(nèi)部似乎也遇到了諸如大boss缺席和薪酬支付困難等問題�����。盡管如此�����,Conti泄密網(wǎng)站 (ContiNews) 仍在運行�����,并不斷更新著受害者的數(shù)據(jù)�����。
參考鏈接:
https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/
https://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/
https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html
