09:06 14-04-2022 120 lượt xem

Liên tục rò rỉ ransomware cho thấy nhóm hoạt động như một công ty công nghệ bình thường

Liên tục rò rỉ ransomware cho thấy nhóm hoạt động như một công ty công nghệ bình thường

Conti – công ty sử dụng phần mềm độc hại để chặn quyền truy cập vào dữ liệu máy tính cho đến khi trả được “tiền chuộc” – hoạt động giống như một công ty công nghệ thông thường, các chuyên gia an ninh mạng đã phân tích các tài liệu bị rò rỉ của nhóm cho biết.

eclipse_images

Một nhóm người Nga được FBI xác định là một trong những nhóm ransomware nhiều nhất năm 2021 có thể hiểu cảm giác khi trở thành nạn nhân của gián điệp mạng.

Một loạt các vụ rò rỉ tài liệu tiết lộ chi tiết về quy mô, khả năng lãnh đạo và hoạt động kinh doanh của tập đoàn được gọi là Conti, cũng như thứ được coi là sở hữu quý giá nhất của tập đoàn: mã nguồn ransomware.

Shmuel Gihon, một nhà nghiên cứu bảo mật tại công ty tình báo mối đe dọa Cyberint, cho biết nhóm này nổi lên vào năm 2020 và phát triển thành một trong những tổ chức ransomware lớn nhất trên thế giới. Anh ước tính nhóm có khoảng 350 thành viên, những người đã kiếm được khoảng 2,7 tỷ đô la từ tiền điện tử chỉ trong hai năm.

Trong “Báo cáo Tội phạm Internet 2021”, FBI cảnh báo rằng ransomware của Conti nằm trong số “ba biến thể hàng đầu” nhắm mục tiêu vào cơ sở hạ tầng quan trọng ở Hoa Kỳ vào năm ngoái. Conti “thường xuyên là nạn nhân của các ngành Sản xuất Quan trọng, Cơ sở Thương mại và Thực phẩm và Nông nghiệp”, văn phòng cho biết.

“Họ là nhóm thành công nhất cho đến thời điểm này,” Gihon nói.

Hành động trả thù?

Trong một bài đăng trực tuyến phân tích các rò rỉ, Cyberint cho biết vụ rò rỉ dường như là một hành động trả thù, được thúc đẩy bởi một bài đăng đã được sửa đổi bởi Conti được xuất bản sau cuộc xâm lược của Nga vào Ukraine. Nhóm có thể giữ im lặng, nhưng “như chúng tôi nghi ngờ, Conti đã chọn đứng về phía Nga, và đây là nơi mọi thứ đã đi về phía nam”, Cyberint nói.

Các rò rỉ bắt đầu vào ngày 28 tháng 2, bốn ngày sau khi Nga xâm lược Ukraine.

Ngay sau bài đăng, ai đó đã mở tài khoản Twitter có tên “ContiLeaks” và bắt đầu rò rỉ hàng nghìn thông điệp nội bộ của nhóm cùng với các tuyên bố ủng hộ Ukraine.

Tài khoản Twitter đã tắt tin nhắn trực tiếp, vì vậy CNBC không thể liên hệ với chủ sở hữu của nó.

Lotem Finkelstein, người đứng đầu bộ phận tình báo về mối đe dọa tại Check Point Software Technologies, cho biết chủ sở hữu tài khoản tự xưng là một “nhà nghiên cứu bảo mật”.

Người rò rỉ dường như đã lùi lại khỏi Twitter, viết vào ngày 30 tháng 3: “Những lời cuối cùng của tôi … Hẹn gặp lại tất cả các bạn sau chiến thắng của chúng tôi! Vinh quang cho Ukraine!”

Gihon cho biết tác động của vụ rò rỉ đối với cộng đồng an ninh mạng là rất lớn.

Công ty an ninh mạng Trellix của Mỹ gọi vụ rò rỉ là “Hồ sơ Panama về Ransomware” và là “một trong những ‘cuộc điều tra mạng dựa trên nguồn gốc đám đông’ lớn nhất từng thấy”.

Hệ thống phân cấp tổ chức cổ điển

Conti hoàn toàn hoạt động ngầm và không bình luận với các phương tiện truyền thông tin tức theo cách mà Anonymous đôi khi sẽ làm. Nhưng Cyberint, Check Point và các chuyên gia mạng khác, những người đã phân tích các tin nhắn cho biết chúng cho thấy Conti hoạt động và được tổ chức giống như một công ty công nghệ thông thường.

Sau khi dịch nhiều thông điệp được viết bằng tiếng Nga, Finkelstein cho biết chi nhánh tình báo của công ty ông, Check Point Research, xác định Conti có các chức năng quản lý, tài chính và nhân sự rõ ràng, cùng với hệ thống phân cấp tổ chức cổ điển với các trưởng nhóm báo cáo cho quản lý cấp trên. .

Cũng có bằng chứng về nghiên cứu và phát triển (“RND” bên dưới) và các đơn vị phát triển kinh doanh, theo phát hiện của Cyberint.

Các tin nhắn cho thấy Conti có văn phòng thực ở Nga, Finkelstein nói, đồng thời cho biết thêm rằng tập đoàn này có thể có quan hệ với chính phủ Nga.

Ông nói: “Giả định … của chúng tôi là một tổ chức khổng lồ như vậy, với các văn phòng vật chất và doanh thu khổng lồ sẽ không thể hoạt động ở Nga nếu không có sự chấp thuận đầy đủ hoặc thậm chí một số hợp tác với các cơ quan tình báo của Nga”.

Đại sứ quán Nga tại London đã không trả lời yêu cầu bình luận của CNBC. Moscow trước đó đã phủ nhận việc họ tham gia vào các cuộc tấn công mạng.

‘Nhân viên của tháng’

Nghiên cứu của Check Point cũng phát hiện Conti có:

  • Người làm công ăn lương – một số được trả bằng bitcoin – cộng với các cơ hội đào tạo và đánh giá hiệu suất
  • Người thương lượng nhận hoa hồng từ 0,5% đến 1% tiền chuộc được trả
  • Một chương trình giới thiệu nhân viên, với phần thưởng được trao cho những nhân viên đã tuyển dụng những người khác đã làm việc ít nhất một tháng và
  • Một “nhân viên của tháng” kiếm được tiền thưởng bằng một nửa tiền lương của họ

Không giống như các công ty trên, Conti phạt những người hoạt động kém hiệu quả, theo Check Point Research.

Danh tính của người lao động cũng bị che bởi tay cầm, chẳng hạn như Stern (“sếp lớn”), Buza (“giám đốc kỹ thuật”) và Target (“đối tác của Stern và người đứng đầu hoạt động văn phòng hiệu quả”), Check Point Research cho biết.

Các thông điệp được dịch cho thấy các hành vi vi phạm có thể xử lý được tại Conti.

Nguồn: Nghiên cứu điểm kiểm tra

“Khi giao tiếp với nhân viên, cấp quản lý cao hơn thường cho rằng làm việc cho Conti là công việc của cả đời – lương cao, nhiệm vụ thú vị, phát triển sự nghiệp (!)”, Theo Check Point Research.

Tuy nhiên, một số tin nhắn vẽ nên một bức tranh khác, với những lời đe dọa chấm dứt hợp đồng do không trả lời tin nhắn đủ nhanh – trong vòng ba giờ – và giờ làm việc vào cuối tuần và ngày lễ, Check Point Research cho biết.

Quá trình tuyển dụng

Conti thuê từ cả các nguồn hợp pháp, chẳng hạn như dịch vụ săn đầu người của Nga và tội phạm ngầm, Finkelstein cho biết.

Đáng báo động là chúng tôi có bằng chứng cho thấy không phải tất cả nhân viên đều nhận thức đầy đủ rằng họ là một phần của nhóm tội phạm mạng.

Lotem Finkelstein

Công nghệ phần mềm Check Point

Brian Krebs, một cựu phóng viên của Washington Post, đã viết trên trang web an ninh mạng KrebsOnSecurity của mình rằng “không có gì đáng ngạc nhiên khi tỷ lệ doanh thu, mức tiêu hao và tỷ lệ kiệt sức là khá cao đối với các nhân viên cấp thấp của Conti.

Theo Check Point Research, một số người được thuê thậm chí không phải là chuyên gia máy tính. Conti đã thuê người làm việc trong các trung tâm cuộc gọi, nó nói. Theo FBI, “gian lận hỗ trợ công nghệ” đang gia tăng, trong đó những kẻ lừa đảo mạo danh các công ty nổi tiếng, đề nghị khắc phục sự cố máy tính hoặc hủy bỏ phí đăng ký.

Nhân viên trong bóng tối

Finkelstein cho biết: “Đáng báo động là chúng tôi có bằng chứng cho thấy không phải tất cả nhân viên đều nhận thức đầy đủ rằng họ là một phần của nhóm tội phạm mạng. “Những nhân viên này nghĩ rằng họ đang làm việc cho một công ty quảng cáo, trong khi thực tế họ đang làm việc cho một tập đoàn ransomware khét tiếng.”

Các tin nhắn cho thấy các nhà quản lý đã nói dối các ứng viên tuyển dụng về tổ chức, với một người nói với một người tuyển dụng tiềm năng: “Mọi thứ đều ẩn danh ở đây, định hướng chính của công ty là phần mềm cho những kẻ lừa đảo” – đề cập đến những người kiểm tra thâm nhập, những chuyên gia an ninh mạng hợp pháp mô phỏng các cuộc tấn công mạng chống lại mạng máy tính của chính công ty họ.

Trong một loạt các thông báo, Stern giải thích rằng nhóm đã giữ cho các lập trình viên trong bóng tối bằng cách để họ làm việc trên một mô-đun hoặc một phần của phần mềm thay vì toàn bộ chương trình, Check Point Research cho biết.

Stern cho biết, nếu nhân viên cuối cùng hiểu ra mọi thứ, họ sẽ được đề nghị tăng lương để ở lại làm việc, theo các thông điệp đã dịch.

Xuống nhưng không ra?

Theo Check Point Research, ngay cả trước khi bị rò rỉ, Conti đã có dấu hiệu đau đớn.

Stern im lặng vào khoảng giữa tháng Giêng, và các khoản thanh toán tiền lương cũng dừng lại, theo các tin nhắn.

Vài ngày trước khi bị rò rỉ, một thông báo nội bộ có nội dung: “Đã có rất nhiều vụ rò rỉ, đã có … bắt giữ … không có ông chủ, không có sự rõ ràng … cũng không có tiền … Tôi phải yêu cầu tất cả các bạn lấy 2. -3 tháng nghỉ phép. “

Theo Check Point Research, mặc dù nhóm đã gặp khó khăn nhưng có khả năng sẽ tăng trở lại. Không giống như đối thủ cũ REvil – mà các thành viên mà Nga cho biết đã bị bắt vào tháng Giêng – Conti vẫn đang hoạt động “một phần”, công ty cho biết.

Nhóm đã vượt qua những thất bại khác, bao gồm việc vô hiệu hóa tạm thời Trickbot – một chương trình phần mềm độc hại được Conti sử dụng – và vụ bắt giữ một số cộng sự Trickbot bị nghi ngờ vào năm 2021.

Bất chấp những nỗ lực không ngừng để chống lại các nhóm ransomware, FBI dự kiến ​​các cuộc tấn công vào cơ sở hạ tầng quan trọng sẽ gia tăng vào năm 2022.

Nguồn: CNBC
Dịch bởi: tapchiso.com

THEO DÕI CHÚNG TÔI TRÊN: FACEBOOK | TELEGRAM | TWITTER | YOUTUBE | Tin Tức Bitcoin
Bài viết liên quan