史上最能卷的勒索組織之一,每天工作時(shí)間超14小時(shí)
責(zé)編:gltian |2022-06-24 11:18:55Conti堪稱史上最能卷的網(wǎng)絡(luò)勒索組織之一,并且其內(nèi)部組織性非常強(qiáng),管理制度嚴(yán)格,這也是他能卷到飛起的原因之一。該組織最輝煌的成績(jī)是,在一個(gè)月左右的時(shí)間里,瘋狂地攻擊了40多家企業(yè)。
網(wǎng)絡(luò)安全公司 Group-IB研究人員將這一行動(dòng)命名為“ARMattack”,并表示這是Conti發(fā)起的最有成效和效率的勒索活動(dòng)。
卷上天的ARMattack行動(dòng)
近日,網(wǎng)絡(luò)安全公司 Group-IB 發(fā)布了一份關(guān)于“Conti勒索組織”的報(bào)告,報(bào)告披露了該組織卷上天的ARMattack行動(dòng)發(fā)生在去年,具體時(shí)間是2021年11月17日至12月20日。Group-IB研究人員在事件應(yīng)急響應(yīng)活動(dòng)中發(fā)現(xiàn),該組織在上述時(shí)間內(nèi)發(fā)動(dòng)了瘋狂的網(wǎng)絡(luò)攻擊。研究人員基于該組織已經(jīng)暴露的基礎(chǔ)設(shè)施域名,將這一行動(dòng)命名為ARMattack。
ARMattack行動(dòng)共攻擊了40多家不同領(lǐng)域的企業(yè),這些企業(yè)分布在不同地理區(qū)域廣泛開(kāi)展業(yè)務(wù)(如下圖所示)。他們有一個(gè)共同點(diǎn)——大多都是位于美國(guó),Conti勒索組織的針對(duì)性十分明顯。
ARMattack行動(dòng)目標(biāo)企業(yè)地理分布圖
Group-IB公司的發(fā)言人表示,ARMattack行動(dòng)的速度令人驚訝,這在網(wǎng)絡(luò)攻擊史上也屬于少數(shù)。盡管 Conti 泄密網(wǎng)站隨即就發(fā)布了這40多家企業(yè)被竊取的數(shù)據(jù),但是目前尚不清楚這些企業(yè)是否都已經(jīng)按照要求支付了贖金。
根據(jù) Group-IB報(bào)告公布的數(shù)據(jù),Conti最短的一個(gè)勒索攻擊僅僅只用了三天,就完成了從最初的訪問(wèn)到加密企業(yè)的系統(tǒng)。
Group-IB報(bào)告指出,Conti勒索組織在獲得公司基礎(chǔ)設(shè)施的訪問(wèn)權(quán)后,攻擊者會(huì)將會(huì)泄露特定的文件(通常是為了勒索組織)并尋找包含密碼(明文和加密)的文件。最后,在獲得所有必要的權(quán)限以及有價(jià)值設(shè)備的訪問(wèn)權(quán)限后,攻擊者就會(huì)將勒索軟件部署到所有設(shè)備并運(yùn)行。
每天工作長(zhǎng)達(dá)14個(gè)小時(shí)
事實(shí)上,Group-IB試圖通過(guò)從公共渠道收集的數(shù)據(jù),包括Conti勒索組織泄露的內(nèi)部聊天記錄,來(lái)分析其內(nèi)部成員工的工作時(shí)間。據(jù)Group-IB研究人員稱,Conti 成員每天活動(dòng)大約 14 小時(shí),除新年外,他們幾乎一直在活動(dòng),堪稱是勒索界最能卷的勒索組織了,這也是他們能夠發(fā)動(dòng)ARMattack行動(dòng)的原因。
連勒索組織都已經(jīng)這么卷了,安全行業(yè)的壓力有多大可想而知,只能被迫跟著卷起來(lái),難怪此前有報(bào)告稱45%的高管和高級(jí)安全從業(yè)人員因壓力大而考慮退出該行業(yè)。
該勒索組織一般在中午(莫斯科時(shí)間)開(kāi)始活動(dòng),大概在晚上9點(diǎn)之后撤退,其成員分散在多個(gè)時(shí)區(qū)之內(nèi),這意味著組織成員廣泛分布在多個(gè)區(qū)域。同時(shí)研究人員還強(qiáng)調(diào),該組織內(nèi)部功能十分完善,基本和正常的企業(yè)沒(méi)什么區(qū)別,包括尋找目標(biāo)、研發(fā)、基礎(chǔ)設(shè)施運(yùn)維、提供技術(shù)支持等人員,內(nèi)部分工十分明確。
Conti勒索組織有著強(qiáng)大的實(shí)力,包括可以監(jiān)控 Windows 更新和分析新補(bǔ)丁的變化,發(fā)現(xiàn)可用于攻擊的零日漏洞,以及利用新披露的安全漏洞。對(duì)此,Group-IB惡意軟件分析團(tuán)隊(duì)負(fù)責(zé)人表示,不斷增加的勒索活動(dòng)和泄露的數(shù)據(jù)都在表明,Conti勒索組織不是一個(gè)普通的惡意軟件開(kāi)發(fā)者,而是一個(gè)完整的RaaS產(chǎn)業(yè)鏈,為全球數(shù)千名具有各種專業(yè)知識(shí)的網(wǎng)絡(luò)攻擊者提供各種支持,并和他們分享收益。
2022最能勒索的組織之一
根據(jù)2022年第一季度收集的勒索數(shù)據(jù)來(lái)看,Conti是攻擊頻率排名前三的勒索組織,其成績(jī)僅次于臭名昭著的LockBit勒索組織。
根據(jù)從 2022 年第一季度收集的數(shù)據(jù),Conti 目前是攻擊頻率排名前三的勒索軟件團(tuán)伙之一,今年僅次于 LockBit。
資料顯示,Conti勒索組織首次被發(fā)現(xiàn)于2019年12月下旬,據(jù)Group-IB表示,其惡意軟件的初始測(cè)試版本已被追蹤到 2019 年 11 月。自被發(fā)現(xiàn)以來(lái),遭遇Conti勒索組織攻擊但未支付贖金,因此被其公布數(shù)據(jù)的企業(yè)已經(jīng)增加到859家。這意味著,平均每個(gè)月Conti勒索組織都會(huì)公布35家以上未支付贖金企業(yè)的數(shù)據(jù)。
近年來(lái),Conti勒索組織十分猖獗,其危害性和趨利性在目前已知的勒索組織排在前列。根據(jù)英國(guó)、美國(guó)和澳大利亞網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)合發(fā)布的調(diào)查報(bào)告數(shù)據(jù),2021年,Conti勒索組織共獲得贖金約1.8億美元,排名第一,獨(dú)占2021勒索贖金總金額的三分一。(具體可點(diǎn)擊暴富、反水、圍剿… …Conti勒索組織魔幻的2021年)
2022年5月,Conti勒索組織還對(duì)哥斯達(dá)黎加多個(gè)政府部門(mén)發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊,哥總統(tǒng)總統(tǒng)羅德里戈·查韋斯因此下達(dá)了全國(guó)進(jìn)入緊急狀態(tài)的命令。而上一次下達(dá)該命令還是在2020年新冠疫情席卷全球的時(shí)候。Conti勒索組織的危害性可見(jiàn)一斑。
盡管Conti勒索組織經(jīng)歷了內(nèi)部員工反水,并泄露了內(nèi)部聊天記錄、源代碼和部分基礎(chǔ)設(shè)施,但是該組織并未因此出現(xiàn)崩潰的跡象,依舊十分活躍。而通過(guò)加強(qiáng)與其他勒索軟件運(yùn)營(yíng)商的合作,以及收購(gòu)TrickBot 等網(wǎng)絡(luò)犯罪組織,Conti還在不斷擴(kuò)大攻擊行動(dòng),竟呈現(xiàn)出逐漸變強(qiáng)的趨勢(shì)。目前,Conti已經(jīng)成為全球的毒瘤之一,盡管美國(guó)對(duì)其組織成員開(kāi)出了天價(jià)懸賞,但依舊沒(méi)能阻止其繼續(xù)發(fā)展。
來(lái)源:FreeBuf
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧