Η δραστηριότητα Conti ransomware έχει αυξηθεί τις τελευταίες εβδομάδες παρά την πρόσφατη έκθεση των λειτουργιών του ομίλου από έναν υπέρ της Ουκρανίας hacktivist.
Ένα άτομο που ισχυρίζεται ότι είναι Ουκρανός ερευνητής κυβερνοασφάλειας διέρρευσε τεράστιες ποσότητες δεδομένων που ανήκουν στην ομάδα Conti, συμπεριλαμβανομένων πηγαίου κώδικα κακόβουλου λογισμικού, αρχείων καταγραφής συνομιλιών, διαπιστευτηρίων, διευθύνσεων ηλεκτρονικού ταχυδρομείου και στοιχείων διακομιστή C&C. Τα αρχεία διέρρευσαν ως απάντηση στους χάκερ που εξέφρασαν την υποστήριξή τους στη ρωσική κυβέρνηση καθώς ξεκίνησε την εισβολή της στην Ουκρανία.
Οι πληροφορίες που διέρρευσαν έδειξαν ότι η συμμορία του εγκλήματος στον κυβερνοχώρο λειτουργεί όπως μια κανονική εταιρεία, με εργολάβους, υπαλλήλους και προβλήματα ανθρώπινου δυναμικού.
Ενώ ορισμένοι επαγγελματίες του κλάδου πίστευαν ότι οι διαρροές θα μπορούσαν να έχουν σημαντικό αντίκτυπο στις λειτουργίες της Conti, αυτό δεν φαίνεται να ισχύει.
Σε πρόσφατη ανάρτηση σε υπόγειο φόρουμ χάκερ, ένα από τα μέλη της ομάδας ισχυρίστηκε ότι η διαρροή είχε πολύ μικρό αντίκτυπο στις δραστηριότητές τους. Οι κυβερνοεγκληματίες φέρεται να εργάζονται σε νέο κακόβουλο λογισμικό ντουλαπιών, νέες μεθόδους διείσδυσης και νέες προσεγγίσεις για την εργασία με τα δεδομένα που κλέβουν.
Η ανάρτηση του φόρουμ έγινε αντιληπτή από ερευνητές της Secureworks, οι οποίοι σημείωσαν ότι ο αριθμός των νέων θυμάτων που προστέθηκαν στον ιστότοπο “ειδήσεων” του Conti τον Μάρτιο του 2022 ξεπέρασε τα 70, σημαντικά περισσότερα από τον μέσο όρο των 43 θυμάτων ανά μήνα το 2021. Το Secureworks παρακολουθεί την ομάδα Conti ως «Gold Ulrick».
Οι κυβερνοεγκληματίες ισχυρίζονται ότι το 50% των θυμάτων τους πληρώνουν τα λύτρα, με μέση πληρωμή 700.000 $. Εάν αυτό είναι αλήθεια, η ομάδα στόχευσε πάνω από 100 οργανισμούς τον Μάρτιο και κέρδισαν εκατομμύρια δολάρια.
Περισσότερα από 30 νέα θύματα έχουν ήδη ανακοινωθεί στον ιστότοπο Conti τον Απρίλιο. Πρόσφατες επιθέσεις στόχευσαν τον κολοσσό ανεμογεννητριών Nordex, τον πάροχο βιομηχανικών εξαρτημάτων Parker Hannifin και τον γίγαντα διανομής σκευών μαγειρικής και αρτοποιίας Meyer Corporation. Η ομάδα ανέλαβε επίσης την ευθύνη για μια άκρως ανατρεπτική επίθεση στα κυβερνητικά συστήματα της Κόστα Ρίκα.
«Εάν οι επιχειρήσεις του GOLD ULRICK συνεχίσουν με αυτόν τον ρυθμό, η ομάδα θα συνεχίσει να αποτελεί μία από τις πιο σημαντικές απειλές για το έγκλημα στον κυβερνοχώρο για οργανισμούς παγκοσμίως», προειδοποίησε.
Οι πρόσφατες διαρροές έριξαν επίσης περισσότερο φως στη σχέση μεταξύ του κακόβουλου λογισμικού Emotet και του Conti. Η εταιρεία πληροφοριών απειλών Intel 471 έχει καθορίσει — βάσει ανάλυσης των πληροφοριών που διέρρευσαν και της παρακολούθησης των καμπανιών Emotet — ότι τα θύματα του Emotet προστίθενται σε μια ομάδα πιθανών θυμάτων Conti ransomware.
Η λειτουργία κακόβουλου λογισμικού Emotet είναι ξεχωριστή από την Conti, αλλά η έρευνα της Intel 471 έδειξε ότι η Conti πιθανότατα βασίζεται στο Emotet για να βρει πολλά από τα θύματά της. Συγκεκριμένα, όταν το Emotet μολύνει έναν υπολογιστή, συλλέγει πληροφορίες για αυτήν τη συσκευή και τις στέλνει πίσω στους χειριστές του. Οι πληροφορίες συστήματος που συλλέγονται από το Emotet χρησιμοποιούνται από την Conti για την επιλογή των επόμενων θυμάτων και η πρόσβαση που αποκτά η Emotet αξιοποιείται επίσης από την Conti.
«Ενώ δεν σημαίνει κάθε περίπτωση του Emotet ότι επίκειται επίθεση ransomware, η έρευνά μας δείχνει ότι υπάρχει αυξημένη πιθανότητα επίθεσης εάν εντοπιστεί το Emotet στα συστήματα των οργανισμών», δήλωσε η Intel 471.