史上最能卷的勒索组织之一,每天工作时间超14小时

2022-6-24 10:27:18 Author: www.freebuf.com(查看原文) 阅读量:39 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Conti堪称史上最能卷的网络勒索组织之一,并且其内部组织性非常强,管理制度严格,这也是他能卷到飞起的原因之一。该组织最辉煌的成绩是,在一个月左右的时间里,疯狂地攻击了40多家企业。

网络安全公司 Group-IB研究人员将这一行动命名为“ARMattack”,并表示这是Conti发起的最有成效和效率的勒索活动。

卷上天的ARMattack行动

近日,网络安全公司 Group-IB 发布了一份关于“Conti勒索组织”的报告,报告披露了该组织卷上天的ARMattack行动发生在去年,具体时间是2021年11月17日至12月20日。Group-IB研究人员在事件应急响应活动中发现,该组织在上述时间内发动了疯狂的网络攻击。研究人员基于该组织已经暴露的基础设施域名,将这一行动命名为ARMattack。

ARMattack行动共攻击了40多家不同领域的企业,这些企业分布在不同地理区域广泛开展业务(如下图所示)。他们有一个共同点——大多都是位于美国,Conti勒索组织的针对性十分明显。

ARMattack行动目标企业地理分布图

Group-IB公司的发言人表示,ARMattack行动的速度令人惊讶,这在网络攻击史上也属于少数。尽管 Conti 泄密网站随即就发布了这40多家企业被窃取的数据,但是目前尚不清楚这些企业是否都已经按照要求支付了赎金。

根据 Group-IB报告公布的数据,Conti最短的一个勒索攻击仅仅只用了三天,就完成了从最初的访问到加密企业的系统。

Group-IB报告指出,Conti勒索组织在获得公司基础设施的访问权后,攻击者会将会泄露特定的文件(通常是为了勒索组织)并寻找包含密码(明文和加密)的文件。最后,在获得所有必要的权限以及有价值设备的访问权限后,攻击者就会将勒索软件部署到所有设备并运行。

每天工作长达14个小时

事实上,Group-IB试图通过从公共渠道收集的数据,包括Conti勒索组织泄露的内部聊天记录,来分析其内部成员工的工作时间。据Group-IB研究人员称,Conti 成员每天活动大约 14 小时,除新年外,他们几乎一直在活动,堪称是勒索界最能卷的勒索组织了,这也是他们能够发动ARMattack行动的原因。

连勒索组织都已经这么卷了,安全行业的压力有多大可想而知,只能被迫跟着卷起来,难怪此前有报告称45%的高管和高级安全从业人员因压力大而考虑退出该行业。

该勒索组织一般在中午(莫斯科时间)开始活动,大概在晚上9点之后撤退,其成员分散在多个时区之内,这意味着组织成员广泛分布在多个区域。同时研究人员还强调,该组织内部功能十分完善,基本和正常的企业没什么区别,包括寻找目标、研发、基础设施运维、提供技术支持等人员,内部分工十分明确。

Conti勒索组织有着强大的实力,包括可以监控 Windows 更新和分析新补丁的变化,发现可用于攻击的零日漏洞,以及利用新披露的安全漏洞。对此,Group-IB恶意软件分析团队负责人表示,不断增加的勒索活动和泄露的数据都在表明,Conti勒索组织不是一个普通的恶意软件开发者,而是一个完整的RaaS产业链,为全球数千名具有各种专业知识的网络攻击者提供各种支持,并和他们分享收益。

2022最能勒索的组织之一

根据2022年第一季度收集的勒索数据来看,Conti是攻击频率排名前三的勒索组织,其成绩仅次于臭名昭著的LockBit勒索组织。

根据从 2022 年第一季度收集的数据,Conti 目前是攻击频率排名前三的勒索软件团伙之一,今年仅次于 LockBit。

资料显示,Conti勒索组织首次被发现于2019年12月下旬,据Group-IB表示,其恶意软件的初始测试版本已被追踪到 2019 年 11 月。自被发现以来,遭遇Conti勒索组织攻击但未支付赎金,因此被其公布数据的企业已经增加到859家。这意味着,平均每个月Conti勒索组织都会公布35家以上未支付赎金企业的数据。

近年来,Conti勒索组织十分猖獗,其危害性和趋利性在目前已知的勒索组织排在前列。根据英国、美国和澳大利亚网络安全机构联合发布的调查报告数据,2021年,Conti勒索组织共获得赎金约1.8亿美元,排名第一,独占2021勒索赎金总金额的三分一。(具体可点击暴富、反水、围剿… …Conti勒索组织魔幻的2021年)

2022年5月,Conti勒索组织还对哥斯达黎加多个政府部门发起大规模网络攻击,哥总统总统罗德里戈·查韦斯因此下达了全国进入紧急状态的命令。而上一次下达该命令还是在2020年新冠疫情席卷全球的时候。Conti勒索组织的危害性可见一斑。

尽管Conti勒索组织经历了内部员工反水,并泄露了内部聊天记录、源代码和部分基础设施,但是该组织并未因此出现崩溃的迹象,依旧十分活跃。而通过加强与其他勒索软件运营商的合作,以及收购TrickBot 等网络犯罪组织,Conti还在不断扩大攻击行动,竟呈现出逐渐变强的趋势。目前,Conti已经成为全球的毒瘤之一,尽管美国对其组织成员开出了天价悬赏,但依旧没能阻止其继续发展。

参考来源

https://www.bleepingcomputer.com/news/security/conti-ransomware-hacking-spree-breaches-over-40-orgs-in-a-month/


文章来源: https://www.freebuf.com/news/337170.html
如有侵权请联系:admin#unsafe.sh