Η λειτουργία Conti ransomware της έχει υποστεί ορισμένες σημαντικές αλλαγές στη δομή της οργάνωσης τους τελευταίους μήνες αφότου η επωνυμία έγινε τοξική λόγω της σχέσης της με τη ρωσική κυβέρνηση.
Η επιχείρηση Conti ήταν εξαιρετικά επιτυχημένη, βοηθώντας τους εγκληματίες του κυβερνοχώρου να κερδίσουν δισεκατομμύρια δολάρια μετά την παραβίαση των συστημάτων εκατοντάδων μεγάλων οργανισμών. Ενώ φαινόταν να είναι πολύ ενεργή, η εταιρεία πληροφοριών απειλών AdvIntel λέει ότι η ομάδα βρίσκεται στη διαδικασία τερματισμού της επωνυμίας Conti και μετάβασης σε μια διαφορετική οργανωτική δομή που περιλαμβάνει πολλές υποομάδες.
Η πτώση της μάρκας Conti φαίνεται να ξεκίνησε στα τέλη Φεβρουαρίου, αφού η Ρωσία ξεκίνησε μια εισβολή στην Ουκρανία. Λίγο μετά την έναρξη του πολέμου, ο Κόντι υποσχέθηκε την υποστήριξή του στη ρωσική κυβέρνηση και απείλησε να επιτεθεί στην κρίσιμη υποδομή των εχθρών της.
Η αρχική δήλωση του Conti αναθεωρήθηκε και μειώθηκε, αλλά ήταν πολύ αργά.τεράστιων ποσοτήτων εσωτερικών δεδομένων, συμπεριλαμβανομένων των συνομιλιών και του πηγαίου κώδικα διαρροή.
Σύμφωνα με την AdvIntel, ο παράγοντας που σφράγισε τη μοίρα της μάρκας Conti ήταν ότι η υπόσχεση πίστης στη Ρωσία είχε ως αποτέλεσμα ο όμιλος να συνδεθεί με τη ρωσική κυβέρνηση.
Ο πόλεμος της Ρωσίας εναντίον της Ουκρανίας επέφερε σημαντικές κυρώσεις από τη Δύση, πράγμα που σημαίνει ότι οποιαδήποτε πληρωμή γίνεται στους κυβερνοεγκληματίες θα μπορούσε να θεωρηθεί πληρωμή στη Ρωσία και σιωπηρά παραβίαση των κυρώσεων.
«Ως αποτέλεσμα αυτών των περιορισμών, η Conti είχε ουσιαστικά αποκοπεί από την κύρια πηγή εισοδήματος», εξήγησε η AdvIntel. «Η ευαίσθητη πηγή πληροφοριών μας δείχνει ότι σε πολλά θύματα απαγορεύτηκε να πληρώσουν λύτρα στον Conti. Άλλα θύματα και εταιρείες που θα είχαν διαπραγματευθεί πληρωμές ransomware ήταν πιο έτοιμες να διακινδυνεύσουν την οικονομική ζημιά από τη μη πληρωμή των λύτρων παρά να πραγματοποιήσουν πληρωμές σε μια οντότητα υπό την κρατική έγκριση».
Ενώ η Conti έχει γίνει μια τοξική μάρκα, η επιχείρηση ήταν πολύ μεγάλη και πολύ κερδοφόρα για να απορριφθεί εντελώς. Ωστόσο, η ηγεσία της Conti αποφάσισε ότι αντί να εξαφανιστούν ξαφνικά – η REvil προσπάθησε αυτή την προσέγγιση και δεν πήγε καλά – θα στραφούν σταδιακά σε μια νέα στρατηγική που θα εφαρμοστεί πολύ πριν κλείσει η επωνυμία Conti.
Η AdvIntel είπε ότι η λειτουργία Conti τερματίστηκε επίσημα στις 19 Μαΐου, όταν ο πίνακας διαχείρισης και η υπηρεσία διαπραγματεύσεων του ιστότοπού τους τέθηκαν εκτός σύνδεσης και η υπόλοιπη υποδομή επαναφέρθηκε.
Ωστόσο, πριν από το κλείσιμο, η ομάδα συνέχισε να εμφανίζεται ενεργή και έκανε μια μεγάλη έξοδο κάνοντας χακάροντας τα συστήματα της Κόστα Ρίκα, υποστηρίζοντας ότι στόχος τους ήταν να ανατρέψουν την κυβέρνηση.
Ενώ μόνο λίγα νέα θύματα ανακοινώθηκαν στον ιστότοπο διαρροής του Conti τον Μάιο, η ομάδα έκανε πολιτικές δηλώσεις και σχολίασε άλλα ransomware, υποστηρίζοντας ότι ήταν άπειροι ή απατεώνες. Έκαναν σχόλια μεταξύ άλλων σχετικά με ransomware που η AdvIntel έχει επιβεβαιώσει ότι συνδέεται με την Conti.
Τώρα που η επωνυμία Conti έχει τερματιστεί, οι ηγέτες του ομίλου έχουν στραφεί σε αυτό που η AdvIntel περιγράφει ως μια «οργανωτική δομή δικτύου» που είναι πιο «οριζόντια και αποκεντρωμένη» σε σύγκριση με την προηγούμενη ιεραρχία, η οποία έχει περιγραφεί ως «άκαμπτη».
«Αυτή η δομή θα είναι ένας συνασπισμός πολλών ίσων υποδιαιρέσεων, μερικές από τις οποίες θα είναι ανεξάρτητες και άλλες θα υπάρχουν σε μια άλλη συλλογικότητα ransomware. Ωστόσο, όλοι θα ενωθούν με εσωτερική πίστη τόσο ο ένας στον άλλον όσο και στην ηγεσία των Conti, ειδικά [ο frontman του Conti project] ‘reshaev’», εξήγησε η εταιρεία κυβερνοασφάλειας.
Η εταιρεία λέει ότι το δίκτυο Conti περιλαμβάνει πλέον πλήρως αυτόνομες ομάδες, όπως οι Karakurt, Black Basta και BlackByte, οι οποίες δεν χρησιμοποιούν κακόβουλο λογισμικό κρυπτογράφησης δεδομένων και βασίζονται μόνο στην κλοπή πολύτιμων πληροφοριών για να εκβιάζουν θύματα. Οι ερευνητές παρατήρησαν προηγουμένως ότι ορισμένες από αυτές τις ομάδες φαινόταν να συνδέονται με τον Conti.
Το νέο δίκτυο Conti περιλαμβάνει επίσης ημιαυτόνομες ομάδες που χρησιμοποιούν κακόβουλο λογισμικό θυρίδων όπως AlphV (BlackCat), HIVE, HelloKitty (FiveHands) και AvosLocker.
Υπάρχουν επίσης ορισμένες ανεξάρτητες θυγατρικές που εργάζονται μόνοι τους αλλά συνεχίζουν να είναι πιστοί στον οργανισμό. Επιπλέον, η ηγεσία της Conti έχει αναλάβει μικρότερες μάρκες ransomware, διατηρώντας το όνομά τους αλλά ενισχύοντας τις δυνατότητές τους.
«Αυτό είναι διαφορετικό από το Ransomware-as-a-Service, καθώς αυτό το δίκτυο, τουλάχιστον τη στιγμή που γράφονται αυτές οι γραμμές, δεν φαίνεται να δέχεται νέα μέλη ως μέρος της δομής του. Επιπλέον, σε αντίθεση με το RaaS, αυτό το μοντέλο φαίνεται να εκτιμά τις λειτουργίες που εκτελούνται με οργανωμένο, ομαδικό τρόπο. Τέλος, σε αντίθεση με το RaaS, όλα τα μέλη γνωρίζονται πολύ καλά προσωπικά και είναι σε θέση να αξιοποιήσουν αυτές τις προσωπικές συνδέσεις και την αφοσίωση που τους συνοδεύει», εξήγησε η AdvIntel.
«Αυτό το μοντέλο είναι πιο ευέλικτο και προσαρμοστικό από την προηγούμενη ιεραρχία Conti, αλλά είναι πιο ασφαλές και ανθεκτικό από το RaaS», πρόσθεσε.