Analitycy zagrożeń przedstawili nowe informacje sugerujące, że pozorne zamknięcie osławionego Conti ransomware syndykat cyberprzestępczości – o którym wiadomości zaczęły się pojawiać w piątek 20 maja – powstał z własnej winy, a gang sam wyciągnął wtyczkę w wyniku serii błędnych kroków, które uczyniły go zbyt toksycznym, aby kontynuować.
Jelisej Bogusałwski i Witalij Kremez z AdvIntelktórzy uważnie śledzili Conti przez całe jej bogate życie, byli jednymi z pierwszych, którzy obserwowali zamknięcie w dniu 19 maja, kiedy panel administracyjny niesławnej strony internetowej Conti News kolektywu i jej serwis negocjacyjny upadł, a za nim szybko pozostali swojej infrastruktury związanej z negocjacjami, hostingiem danych i tak dalej.
W ostatniej wiadomości opublikowanej na stronie Conti News gang groził rządowi Kostaryki – który ogłosił stan wyjątkowy z powodu trwającego ataku Conti – i ogłosił USA „rakiem na ciele”.
W szczegółowym raporcie opublikowanym w weekend, Bogusalvskiy i Kremez powiedzieli, że ta wiadomość jest „uderzająco różna” od poprzednich oświadczeń gangu, które są zwykle napisane w dobrze zredagowanym angielskim. Zasugerowali, że oznacza to, że publiczna strona działalności grupy nie jest już poważnie traktowana przez jej liderów.
„To zamknięcie podkreśla prostą prawdę, która była oczywista dla kierownictwa Conti od wczesnej wiosny 2022 r. – grupa nie może już wystarczająco wspierać i uzyskiwać wymuszenia. Kluczowym i jedynym słusznym celem bloga jest wyciek nowych zestawów danych, a ta operacja już minęła” – napisali.
„To nie była spontaniczna decyzja, tylko wyrachowany ruch, którego oznaki były widoczne od końca kwietnia. Dwa tygodnie temu, 6 maja, AdvIntel wyjaśnił, że marka Conti, a nie sama organizacja, jest w trakcie ostatecznego zamknięcia. Od 19 maja 2022 r. nasze wyłączne źródłowe dane wywiadowcze potwierdzają, że dzisiaj jest oficjalna data śmierci Conti” – dodali.
Inwazja na Ukrainę była początkiem końca
W swoim raporcie Bogusałwskij i Kremez ujawnili, że oświadczenie kolektywu Conti o poparciu dla rosyjskiej inwazji na Ukrainę mogło być punktem, w którym jego operacja zaczęła stawać się nie do utrzymania.
Oświadczenie, złożone krótko po pierwszej inwazji na Ukrainę 24 lutego, spowodował szkodliwy wyciek wewnętrznych danych gangu przez niezadowolonych współpracownikówdostarczając analitykom zagrożeń i organom ścigania skarbnicy informacji na temat Conti.
Co krytyczne, dodali, jego sojusz z rosyjską agresją również odciął z dnia na dzień jego główne źródło dochodów – od lutego praktycznie nie dokonano żadnych płatności na rzecz gangu.
Bogusalvskiy i Kremez sugerowali, że stało się tak dlatego, że nagle każda płatność okupu na rzecz Conti mogła potencjalnie zostać przekazana osobie objętej sankcjami, z naruszeniem przepisów amerykańskiego Urzędu Kontroli Aktywów Zagranicznych (Ofac). Dlatego ci, którzy wcześniej mogli być skłonni zapłacić okup, nagle byli bardziej skłonni zaryzykować niezapłacenie i utratę swoich danych niż spowodowanie bólu głowy związanego z przestrzeganiem przepisów przez kontakt z rosyjskim podmiotem.
W związku z tym, jak powiedzieli, nie było zaskoczeniem, że frontman Conti, który nazywa się „reshaev”, podjął decyzję o wycofaniu marki.
Jednak proces wycofywania jednego z najbardziej znanych programów ransomware jest złożony i nieco napięty. Nie jest, jak argumentowali Bogusalvskiy i Kremez, naprawdę możliwe, aby tak głośna grupa zaprzestała własnych operacji i pojawiła się wkrótce potem bez narażenia swojej przyszłej reputacji w cyberprzestępczym podziemiu. Inne, takie jak REvil i DarkSide, próbowały tego i poniosły porażkę.
Wygląda na to, że operacja zamknięcia została starannie zaaranżowana, a kolektyw tworzył podgrupy, korzystając z istniejących alter ego i złośliwego oprogramowania Conti, lub tworzył nowe, co zapewniło oddziałom gangu możliwość ponownego pojawienia się przed oficjalnym zamknięciem Conti.
Chodzący umarły mężczyzna
Te łodzie ratunkowe zostały wystrzelone, przywództwo Conti wydawało się wtedy zainscenizować skomplikowane oszustwo, zasadniczo nadając kolektywowi wrażenie bycia żywym i zdrowym i odbijając się od przecieków.
Wydaje się, że ta aktywność obejmowała publikowanie skradzionych wcześniej dokumentów oraz bycie ogólnie głośnym i nieprzyjemnym we wszystkich właściwych miejscach. Wydaje się jednak, że mistrzowskim posunięciem było: atak na systemy rządu Kostaryki, który rozpoczął się w kwietniu. Teraz wydaje się, że ten atak mógł być ostatnim huraganem dla Conti, który wyszedł w blasku głównego nurtu, uprowadzając i wymuszając swój największy dotychczas cel – cały kraj.
Powołując się na własną widoczność przeciwnika i operacje wywiadowcze AdvIntel, Bogusalvskiy i Kremez wierzą teraz, że celem Contiego podczas ataku na Kostarykę było uzyskanie jak największego rozgłosu i że celowo ustawili stosunkowo niskie żądanie okupu, wiedząc, że się nie spodziewali. aby zapłacić.
„W naszym dochodzeniu przed i po ataku ustaliliśmy, że plan przeprowadzenia ataku na Kostarykę w celu rozgłosu zamiast okupu został ogłoszony wewnętrznie przez kierownictwo Conti” – powiedzieli.
„Atak na Kostarykę sprawił, że Conti znalazł się w centrum uwagi i pomógł im utrzymać iluzję życia przez nieco dłużej, podczas gdy miała miejsce prawdziwa restrukturyzacja”.
Kto następny?
Badacze przystąpili do zbadania, co może stać przed członkami Conti, sugerując, że grupa przyjmie teraz bardziej sieciową, zdecentralizowaną strukturę – w efekcie koalicję różnych operacji zjednoczonych wewnętrzną lojalnością wobec marki i osobistymi powiązaniami.
Niektóre z tych grup już działają i uważa się, że obejmują BlackBasta, BlackByte i Karakurt, które koncentrują się na kradzieży i wyłudzeniu danych, a nie na szyfrowaniu danych i mogą mieć wysoki stopień autonomii; AlphV/Czarny kot, AvosLocker, HelloKitty/FiveHands i HIVE, które są uważane za partnerów Conti-lojalnych współpracujących z innymi grupami; niektóre niezależne podmioty stowarzyszone, które pozostają lojalne wobec Conti; oraz niektóre grupy, które Conti skutecznie zinfiltrowało i przejęło – AdvIntel nie wymienia obecnie żadnych operacji w ramach dwóch ostatnich ugrupowań.
„Ten model jest bardziej elastyczny i adaptacyjny niż poprzednia hierarchia Conti, ale jest bezpieczniejszy i bardziej odporny niż RaaS [ransomware-as-a-service]”, powiedzieli Bogusałwski i Kremez.
„W krótkim, ale burzliwym harmonogramie historii oprogramowania ransomware, 19 maja 2022 r., dzień, w którym zmarł Conti, pozostawi ślad, który odcina krajobraz zagrożeń od jego przeszłości i rzuca cień na jego przyszłość. Jednak w wielkim schemacie istnienia grupy ten dzień nie jest niczym nowym” – napisali.
„Aktorzy, którzy utworzyli i pracowali pod nazwą Conti, nie przestali i nie przestaną iść naprzód z krajobrazem zagrożeń – ich wpływ po prostu pozostawi inny kształt”.