Conti, czyli działająca przypuszczalnie od 2020 roku rosyjska grupa ransomware zaatakowała do tej pory co najmniej 700 korporacji z całego świata. Podobnie jak zlikwidowana niedawno REvil, Conti stała się jedną z twarzy oprogramowania ransomware, szyfrującego komputery ofiar. Organizacja, która w zeszłym roku w nielegalny sposób wygenerowała 180 mln USD przychodu, zaś na początku wojny Rosyjsko-Ukraińskiej oficjalnie poparła Rosyjski rząd, stając się jednym ze zbrojnych ramion realizujących swoje działania w cyberprzestrzeni. Tymczasem analitycy firmy Check Point Research dotarli do nieoficjalnych dokumentów, które ukazują Conti jako wysoce zorganizowaną grupę, działającą i udającą rzetelną firmę Hi-Tech. Czy ujawnienie powyższych informacji odprowadzi do zamknięcia Conti? Jest to wątpliwe. Conti jest “zbyt duży by upaść”…..
Na przestrzeni ostatnich dwóch lat Conti zostało oskarżone o ataki ransomware wymierzone w dziesiątki firm, w tym giganta odzieżowego Fat Face i Shutterfly, a także infrastrukturę krytyczną, taką jak irlandzka służba zdrowia i inne sieci pierwszego reagowania. Teraz Conti chce rozwijać swój biznes planując kolejne przedsięwzięcia. Wśród nich wymienia się giełdę kryptowalut oraz sieć społecznościową w darknecie.
Na początku roku rosyjskie służby (FSB) zlikwidowały organizację cyberprzestępczą REvil, będącą czołową grupą odpowiadającą za araki ransomware. Jednym z najważniejszych ataków, za którymi miało stać REvil, była kampania skierowana przeciwko Kaseya, twórcy rozwiązań IT. Grupa stała również za potężnym atakiem na dostawcę żywności JBS, który za odszyfrowanie swoich systemów zapłacił około 11 mln dolarów w bitcoinach. Jak informowali Rosjanie, podczas nalotu skonfiskowano sprzęt komputerowy, portfele kryptowalutowe oraz 426 mln rubli, 600 tys. dolarów i pół miliona Euro. Co więcej, przejęto również 20 luksusowych samochodów, które kupione zostały za pieniędzy pochodzące z działań przestępczych. Akcja przeprowadzona została na wniosek i we współpracy z amerykańskimi organami.
Po głośnej akcji służb niektórzy doszli do wniosku, że być może Rosja położy kres nieustannym atakom hakerskim realizowanym z jej terytoriów, które wymierzone były w zachodnie korporacje, instytucje edukacyjne i zdrowotne. Analiza dowodzi, że Conti – druga z potężnych organizacji cyberprzestępczych – zdecydowała się stanąć ramie w ramie z rosyjską armią, organizując wojnę cyfrową.
Firma Check Point Research dotarła do szczegółów dotyczących wewnętrznych operacji grupy Conti, odpowiedzialnej za oprogramowanie ransomware sprzedawane jako usługa (RaaS). Taki model umożliwia wynajęcie dostępu do infrastruktury w celu przeprowadzania ataków cybernetycznych. Zdaniem ekspertów branżowych Conti ma siedzibę w Rosji i może mieć powiązania z rosyjskim wywiadem. Na przestrzeni ostatnich dwóch lat Conti zostało oskarżone o ataki ransomware wymierzone w dziesiątki firm, w tym giganta odzieżowego Fat Face i Shutterfly, a także infrastrukturę krytyczną, taką jak irlandzka służba zdrowia i inne sieci pierwszego reagowania.
27 lutego, za sprawą domniemanego informatora, który twierdził, że sprzeciwił się wsparciu grupy dla rosyjskiej inwazji na Ukrainę, wyciekła pamięć podręczna z logami czatów należących do Conti. Analiza plików dowiodła, że grupa ransomware działa niczym duża firma technologiczna. Conti ma dział HR, proces rekrutacji, biura stacjonarne, wynagrodzenia oraz premie… Co więcej Conti posiada zdefiniowaną oraz hierarchiczną strukturę z team-leaderami, którzy raportują swoje poczynania do menedżerów wyższego szczebla. W grupie zatrudnieni są koderzy, testerzy, eksperci ds. kryptografii, administratorzy systemów czy specjaliści ds. wstecznej inżynierii. Conti posiada również specjalistów ds. białego wywiadu oraz własnych negocjatorów.
Na podstawie zapisanych rozmów analitycy byli w stanie zidentyfikować część pracowników. I tak: “Stern” to najprawdopodobniej główny szef grupy, “Bentley” jest liderem działu technicznego, “Buza” to menedżer techniczny, “Target” odpowiada za zarządzanie koderami i produktami grupy, natomiast “Veron” (aka Mors) odpowiada za operacje przeprowadzane z użyciem botnetu Emotet.
Wywiad cybernetyczny Check Point przekonany jest również o tym, że Conti posiada kilka fizycznych biur, które koordynuje Target – partner Sterna i skuteczny dyrektor operacyjny biura, który odpowiada również za fundusz płac, wyposażenie techniczne biura, proces rekrutacji oraz szkolenie personelu. W 2020 roku z biur korzystali głównie testerzy, zespoły ofensywne i negocjatorzy. W swojej korespondencji “Target” wymienia dwa biura przeznaczone dla operatorów, którzy rozmawiają bezpośrednio z przedstawicielami ofiar. W sierpniu 2020 r. otwarto dodatkowe biuro dla administratorów i programistów, pod nadzorem “Profesora”, który jest odpowiedzialny za cały proces techniczny zabezpieczenia hakowania ofiar.
Marchewka i kij, czyli pensje, prowizje oraz kary finansowe
Członkowie zespołu negocjacyjnego Conti (w tym specjaliści OSINT) otrzymują prowizje obliczane jako procent od wpłaconego okupu, które wahają się od 0,5% do 1%. Koderzy i niektórzy menedżerowie otrzymują pensję w bitcoinach, przekazywaną raz lub dwa razy w miesiącu.
Pracownicy Conti nie są chronieni przez lokalne rady pracy czy związki, więc muszą akceptować pewne praktyki, których nie doświadczają typowi pracownicy techniczni, takie jak kary grzywny za gorsze wyniki. Podczas gdy grzywny są najczęściej używane jako ustalone narzędzie w dziale koderów, są one również sporadycznie stosowane w innych działach – na przykład w IT i DevOps, gdzie jedna osoba odpowiedzialna za wpłacanie pieniędzy została ukarana grzywną w wysokości 100 USD za nieodebranie płatności.
Pracownicy Conti rekrutowani na znanych serwisach pracy
Głównym zasobem zwykle wykorzystywanym przez dział HR Conti są rosyjskojęzyczne serwisy headhunterskie, takie jak headhunter.ru. Wiadomo również, że HR-owcy korzystali z innych witryn, takich jak superjobs.ru, ale – podobno – z mniejszym powodzeniem. Conti OPSec zabrania jednak pozostawiania śladów ofert pracy dla programistów na takich stronach internetowych.
Tak więc w przypadku zatrudniania programistów Conti omija system portalu headhunter.ru, a zamiast tego uzyskuje bezpośredni dostęp do puli CV i kontaktuje się z kandydatami przez e-mail. Dlaczego headhunter.ru oferuje Conti taką usługę? Otóż nie robi tego, grupa po prostu „pożyczała” CV bez jakiegokolwiek pozwolenia, co wydaje się być standardową praktyką w świecie cyberprzestępczości.
Niektórzy pracownicy Conti nie zdają sobie sprawy z tego, że biorą udział w operacjach cyberprzestępczych. Podczas jednej z rozmów kwalifikacyjnych, menedżer przekazał kandydatowi informację, że w firmie “wszystko jest anonimowe”, a głównym kierunkiem jest tworzenie oprogramowania dla pentesterów (czyli tzw. etycznych hakerów, analizujących podatności). Innym przykładem jest członek grupy “Zulas”, który opracowywał backend Trickbota (trojan bankowy) w języku Erlang. Kiedy w rozmowie menedżer wspomina, że jego projekt dla “Tricka” (Trickbota), został zauważony przez połowę świata, “Zulas” nie ma pojęcia co stoi za tymi słowami. Nie wie również za co odpowiada tworzone przez niego oprogramowanie (otrzymuje za to odpowiedź, że pracuje nad backendem systemu analiz reklam) i dlaczego zespół dokłada wszelkich starań, aby chronić tożsamość członków.
– Po raz pierwszy uzyskaliśmy szeroki wgląd w grupę, która jest znana jako twarz oprogramowania ransomware. Conti działa jak firma high-tech. Widzimy setki pracowników zarządzanych przez menedżerów. Pojawia się dział HR, z osobami odpowiedzialnymi za koordynację różnych działów. Co niepokojące, mamy dowody na to, że nie wszyscy pracownicy są w pełni świadomi, że należą do grupy cyberprzestępczej. Innymi słowy, Conti jest w stanie rekrutować specjalistów również z legalnych źródeł. Ci są przekonani, że pracują dla agencji reklamowej, a nie grupy stojącej za ransomware. Jest już dla nas jasne, że Conti wypracowało wewnętrzną kulturę generowania zysków, a także nakładania kar na pracowników za niepożądane zachowania. Widzimy też, że grupa posiada realne biura w Rosji – mówi Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Research.
“Firma” patrzy w przyszłość
Z uzyskanej korespondencji wynika, że Conti chce rozwijać swój biznes planując kolejne przedsięwzięcia. Wśród nich wymienia się giełdę kryptowalut oraz sieć społecznościową w darknecie. Giełda ma być stworzona we własnym ekosystemie grupy, natomiast medium społecznościowe ma być odpowiednikiem VK (rosyjska alternatywa Facebooka) dla darknetu lub Carbon Black dla hakerów. Pomysłodawcą projektów miał być “Stern”, a za ich realizację odpowiadał “Mango”. Oba przedsięwzięcia miały mieć charakter komercyjny. Wiadomo, że w lipcu 2021 roku Conti kontaktowało się z twórcą, który przygotował wstępne plany realizacji projektu.
Czy ujawnienie powyższych informacji odprowadzi do zamknięcia Conti? Jest to wątpliwe. Conti jest “zbyt duży by upaść”. Wyjątkiem może być szeroko zakrojona akcja służb i liczne aresztowania członków grupy, na wzór tych przeprowadzonych względem REvil. Przeciek jest jednak cennym studium przypadku zorganizowanych grup hakerskich. Jeśli ktoś miał romantyczną wizję małej, pełnej pasji formacji, realizującej zaawansowane ataki na złe korporacje, powinien się z nią pożegnać. Nowoczesne, wyrafinowane zespoły hakerskie same organizują się na wzór korporacyjny, by osiągnąć jak najwyższą wydajność, a co za tym idzie najwyższe zyski.
Więcej informacji można uzyskać na blogu Check Point Research: Leaks of Conti Ransomware Group Paint Picture of a Surprisingly Normal Tech Start-Up… Sort Of – Check Point Research
Struktura grupy dostępna jest z kolei pod linkiem: https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html
