欢迎光临
我们一直在努力

揭露:Conti勒索软件背后惊人的运作团队

Conti于2019年首次被发现,现已成为网络世界中最危险的勒索软件之一,并以其在目标系统中加密和部署的速度快而闻名。Conti被认为是流行的Ryuk勒索软件家族的变种。据FBI统计,Conti针对全球发起了400多次网络攻击,其中四分之三的目标位于美国,勒索金额高达2500万美元。由此可见,Conti也是当前最贪婪的勒索团伙之一。原本Conti和REvil都是俄罗斯勒索软件团伙的主力军。但是2022年1月11日,在美国当局对俄罗斯施加压力后,俄罗斯采取行动逮捕了REvil勒索团伙的成员。这使得Conti成为俄罗斯软件团伙中的“牛耳”。

2月27日,Conti勒索软件团伙的内部聊天记录因俄乌克冲突而遭到泄露。事件的基本过程如下:在聊天记录披露之前,Conti承诺在俄罗斯入侵乌克兰后支持俄罗斯政府;然而,其中一些成员选择支持乌克兰,导致该组织内部发生冲突;两天后,Conti发布了第二条消息,修改了此前的声明,并且Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录,其中包含Conti用于内部交流的数十万条Jabber和Rocket.Chat消息。

以下内容是根据泄露的聊天记录获得的分析结果,由于泄露文件使用了加密服务,所以部分信息可能缺失。

Conti团伙的组织架构

Conti团伙的核心成员

成员Stern :大boss,负责集团运营和与附属公司合作,并直接和间接地管理许多人员和项目。

成员Bentley:技术负责人,负责测试和防御规避。

成员Mango:主要协调解决负责攻击人员和开发人员之间的问题。

成员Buza:是一名技术管理者,负责开发和产品,在开发团队中策划加载器和bot的开发。

成员Target:负责管理黑客团队,他还负责管理所有线下办公场所。

成员Veron:与Emotet合作的枢纽,Veron正在与相关的Conti成员管理Emotet活动的所有资源,包括基础设施。

Conti 的运营团队几乎符合一个经典的科技公司层次结构。环环相扣,各尽其责。Conti团伙拥有多个实体办公室,这些由Stern的合伙人兼有效的办公室主管Target运营,并且2020年线下办公主要供测试人员、进攻团队和谈判人员使用。Target 还提到了2个专门为与受害者代表直接对话的办公室。泄露的Rocket.Chat消息包括了在实体办公室工作的攻击团队成员的通信,这表明Rocket.Chat很可能就安装在Conti成员个人的移动终端上。

成员招募途径

(1)猎头网站headhunter.ru和superjobs.ru

因招聘目的通过第三方工具访问 headhunter.ru 简历数据库

(2)员工内部推介

根据stern的聊天截图,Conti成员内部推荐可以获得内推奖金。

(3)暗网论坛寻找人才

REvil团伙曾经做了一个宣传噱头,将 100万美元的比特币存入了一个账户,然后在讨论该噱头活跃度高的论坛帖子中发布招聘广告。招聘广告收到了许多带有联系方式的回复,且所有回复都是公开的,因此Conti团伙的HR可以从中筛选出一批高质量的候选人,并向他们发送提供工作机会的邮件。

团伙未来的发展计划

(1)推出加密系统

Conti 团伙的管理团队不断寻求新的方式来扩展业务,其中一个想法是在组织内部建立一套私有密钥交换系统。

(2)暗网社交网络

“暗网社交网络”(又名:“VK for darknet”或“Carbon Black for hackers”),这是一个受Stern启发并由Mango实施的项目,计划作为商业项目开发。

后记

从目前的情况看,在的敏感信息被泄露之后,Conti团伙清理了虚拟机并转移到其他渠道进行沟通,并且团伙内部似乎也遇到了诸如大boss缺席和薪酬支付困难等问题。尽管如此,Conti泄密网站 (ContiNews) 仍在运行,并不断更新着受害者的数据。

参考链接:

https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/

https://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/

https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html

声明:本文来自白泽安全实验室,版权归作者所有。

赞(4) 打赏
未经允许不得转载:黑客技术网 » 揭露:Conti勒索软件背后惊人的运作团队
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏