0
0
Dois meses após a infame gangue de ransomware Conti encerrar as operações, vários de seus membros permanecem tão ativos como sempre, seja como parte de outros grupos de ransomware ou como contratados independentes focados em roubo de dados, acesso inicial à rede e outros empreendimentos criminosos.
Separadamente, eles permanecem tão perigosos para as organizações quanto costumavam ser como membros de uma única gangue, de acordo com a Intel 471. Seus pesquisadores têm rastreado os atores da Conti à medida que eles se moveram em direções diferentes desde que o grupo se dissolveu em maio.
A cessação das operações parece ser uma tentativa das operadoras do grupo de se distanciarem da marca mais do que qualquer outra coisa. Em um novo relatório, a empresa de inteligência de ameaças especula que, uma vez que a atenção da lei em torno do grupo Conti diminua, é provável que seus membros agora dispersos se reagrupem e formem outra organização criminosa semelhante em estrutura à original.
“Para defender suas empresas, os profissionais de segurança precisam entender como os cibercriminosos organizam suas operações”, diz Brad Crompton, diretor de inteligência do grupo de serviços compartilhados da Intel 471. “Mesmo que o Conti esteja extinto, os ex-operadores ainda estão usando [táticas, técnicas e procedimentos semelhantes], o que significa que as equipes de segurança ainda podem usar suas estratégias anteriores para interromper ataques semelhantes em vez de ignorá-los completamente à luz do desaparecimento do Conti”.
Grupo de Ransomware Mais Destrutivo
O grupo Conti é amplamente considerado no setor de segurança como uma das operações de ransomware mais destrutivas de todos os tempos. O grupo predominantemente baseado na Rússia surgiu pela primeira vez em 2020 e usou uma variedade de táticas para invadir as redes das vítimas – inclusive por meio de campanhas de spear phishing, credenciais roubadas do Remote Desktop Protocol, vulnerabilidades de software e software envenenado.
O FBI estimou que, em janeiro, a gangue havia coletado cerca de US$ 150 milhões em pagamentos de resgate de mais de 1.000 vítimas em todo o mundo – incluindo mais de 400 nos EUA. A escala de sua destruição levou o Departamento de Estado dos EUA em maio a anunciar uma recompensa de US$ 10 milhões por informações que levem à identificação e/ou localização de indivíduos-chave da gangue. O Departamento de Estado ofereceu outros US$ 5 milhões por informações que levem à prisão e condenação de indivíduos que participaram de ataques envolvendo incidentes de ransomware Conti.
Vazando uma janela nas operações da Conti
Em maio, um membro ucraniano da gangue divulgou publicamente uma grande quantidade de conversas internas de Conti depois que a equipe de Conti anunciou oficialmente seu apoio à invasão da Ucrânia pelo governo russo. As informações desse vazamento e outro vazamento anterior em setembro de 2021 mostraram que a operação do ransomware Conti foi estruturada nos moldes de um negócio formalcompleto com um escritório físico, horário de trabalho programado, gerentes em vários níveis e departamentos separados para RH, codificação, treinamento, testes, coleta de inteligência e outras funções.
O FBI, a Agência de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) avaliaram anteriormente que os desenvolvedores de Conti usaram um modelo de ransomware como serviço para distribuir seu malware. Mas, em vez de receber uma parte do resgate das afiliadas – como geralmente é o caso do ransomware como serviço – os desenvolvedores da Conti pagaram aos invasores uma taxa fixa para implantar seu malware nas redes das vítimas.
Significativamente, os vazamentos também pareceram confirmar suspeitas sobre uma ligação entre os desenvolvedores de Conti e o Serviço Federal de Segurança da Rússia (FSB).
Rebrand & Reagrupar?
Em meados de maio, os desenvolvedores do Conti aparentemente começaram a desligar a infraestrutura – como painéis de administração, servidores, hosts proxy, salas de bate-papo e um site de serviço de negociações – provavelmente em resposta ao alto nível de atenção que conseguiu atrair das autoridades e meios de comunicação. Algumas semanas depois, também desativou um site usado para nomear e envergonhar as vítimas que se recusavam a pagar o resgate.
Uma análise da AdvIntel na época concluiu que os principais atores do grupo já haviam implementado planos para continuar a operação sob várias formas alguns meses antes de seu desligamento oficial.
A gangue de ransomware Black Basta, que iniciou as operações em abril, ou um mês antes da saída oficial de Conti da cena do ransomware, parece ser uma dessas operações. A Intel 471 disse que sua análise das atividades do grupo mostra que a infraestrutura da Black Basta – como seus sites de pagamento e vazamento de dados, seu site de pagamento, portais de recuperação e métodos de comunicação e negociação – se sobrepõe às operações da Conti.
A Intel 471 também identificou duas outras operações de ransomware – BlackByte e Karakurt – que têm sobreposições significativas e semelhantes com a Conti e, na verdade, podem ser simplesmente operações de Conti renomeadas. Além disso, alguns afiliados e gerentes da Conti formaram alianças com outras equipes de ransomware, incluindo Ryuk, Maze, LockBit 2.0 , BlackCat, Hive e HelloKitty. De acordo com a Intel 471, também é possível que outros atores possam usar o código-fonte vazado do Conti para desenvolver suas próprias ferramentas de ransomware e descriptografia.
FONTE: DARK READING