史上最能卷的勒索組織之一,每天工作時間超14小時
責編:gltian |2022-06-24 11:18:55Conti堪稱史上最能卷的網絡勒索組織之一,并且其內部組織性非常強,管理制度嚴格,這也是他能卷到飛起的原因之一。該組織最輝煌的成績是,在一個月左右的時間里,瘋狂地攻擊了40多家企業。
網絡安全公司 Group-IB研究人員將這一行動命名為“ARMattack”,并表示這是Conti發起的最有成效和效率的勒索活動。
卷上天的ARMattack行動
近日,網絡安全公司 Group-IB 發布了一份關于“Conti勒索組織”的報告,報告披露了該組織卷上天的ARMattack行動發生在去年,具體時間是2021年11月17日至12月20日。Group-IB研究人員在事件應急響應活動中發現,該組織在上述時間內發動了瘋狂的網絡攻擊。研究人員基于該組織已經暴露的基礎設施域名,將這一行動命名為ARMattack。
ARMattack行動共攻擊了40多家不同領域的企業,這些企業分布在不同地理區域廣泛開展業務(如下圖所示)。他們有一個共同點——大多都是位于美國,Conti勒索組織的針對性十分明顯。
ARMattack行動目標企業地理分布圖
Group-IB公司的發言人表示,ARMattack行動的速度令人驚訝,這在網絡攻擊史上也屬于少數。盡管 Conti 泄密網站隨即就發布了這40多家企業被竊取的數據,但是目前尚不清楚這些企業是否都已經按照要求支付了贖金。
根據 Group-IB報告公布的數據,Conti最短的一個勒索攻擊僅僅只用了三天,就完成了從最初的訪問到加密企業的系統。
Group-IB報告指出,Conti勒索組織在獲得公司基礎設施的訪問權后,攻擊者會將會泄露特定的文件(通常是為了勒索組織)并尋找包含密碼(明文和加密)的文件。最后,在獲得所有必要的權限以及有價值設備的訪問權限后,攻擊者就會將勒索軟件部署到所有設備并運行。
每天工作長達14個小時
事實上,Group-IB試圖通過從公共渠道收集的數據,包括Conti勒索組織泄露的內部聊天記錄,來分析其內部成員工的工作時間。據Group-IB研究人員稱,Conti 成員每天活動大約 14 小時,除新年外,他們幾乎一直在活動,堪稱是勒索界最能卷的勒索組織了,這也是他們能夠發動ARMattack行動的原因。
連勒索組織都已經這么卷了,安全行業的壓力有多大可想而知,只能被迫跟著卷起來,難怪此前有報告稱45%的高管和高級安全從業人員因壓力大而考慮退出該行業。
該勒索組織一般在中午(莫斯科時間)開始活動,大概在晚上9點之后撤退,其成員分散在多個時區之內,這意味著組織成員廣泛分布在多個區域。同時研究人員還強調,該組織內部功能十分完善,基本和正常的企業沒什么區別,包括尋找目標、研發、基礎設施運維、提供技術支持等人員,內部分工十分明確。
Conti勒索組織有著強大的實力,包括可以監控 Windows 更新和分析新補丁的變化,發現可用于攻擊的零日漏洞,以及利用新披露的安全漏洞。對此,Group-IB惡意軟件分析團隊負責人表示,不斷增加的勒索活動和泄露的數據都在表明,Conti勒索組織不是一個普通的惡意軟件開發者,而是一個完整的RaaS產業鏈,為全球數千名具有各種專業知識的網絡攻擊者提供各種支持,并和他們分享收益。
2022最能勒索的組織之一
根據2022年第一季度收集的勒索數據來看,Conti是攻擊頻率排名前三的勒索組織,其成績僅次于臭名昭著的LockBit勒索組織。
根據從 2022 年第一季度收集的數據,Conti 目前是攻擊頻率排名前三的勒索軟件團伙之一,今年僅次于 LockBit。
資料顯示,Conti勒索組織首次被發現于2019年12月下旬,據Group-IB表示,其惡意軟件的初始測試版本已被追蹤到 2019 年 11 月。自被發現以來,遭遇Conti勒索組織攻擊但未支付贖金,因此被其公布數據的企業已經增加到859家。這意味著,平均每個月Conti勒索組織都會公布35家以上未支付贖金企業的數據。
近年來,Conti勒索組織十分猖獗,其危害性和趨利性在目前已知的勒索組織排在前列。根據英國、美國和澳大利亞網絡安全機構聯合發布的調查報告數據,2021年,Conti勒索組織共獲得贖金約1.8億美元,排名第一,獨占2021勒索贖金總金額的三分一。(具體可點擊暴富、反水、圍剿… …Conti勒索組織魔幻的2021年)
2022年5月,Conti勒索組織還對哥斯達黎加多個政府部門發起大規模網絡攻擊,哥總統總統羅德里戈·查韋斯因此下達了全國進入緊急狀態的命令。而上一次下達該命令還是在2020年新冠疫情席卷全球的時候。Conti勒索組織的危害性可見一斑。
盡管Conti勒索組織經歷了內部員工反水,并泄露了內部聊天記錄、源代碼和部分基礎設施,但是該組織并未因此出現崩潰的跡象,依舊十分活躍。而通過加強與其他勒索軟件運營商的合作,以及收購TrickBot 等網絡犯罪組織,Conti還在不斷擴大攻擊行動,竟呈現出逐漸變強的趨勢。目前,Conti已經成為全球的毒瘤之一,盡管美國對其組織成員開出了天價懸賞,但依舊沒能阻止其繼續發展。
來源:FreeBuf