Gang Conti. Cyberwojna po stronie Putina, rozłam i wielki powrót

Najnowszy raport, opublikowany przez firmę Chainalysis - platformy kryptowalutowej, określa ostatni wyciek danych z czatu Conti jako „Panama Papers” (to nawiązanie do głośnej sprawy publikacji dokumentów w 2016 roku, pochodzących z wycieku danych z kancelarii prawnej mieszczącej się w Panamie, Mossack Fonseca – red.) w środowisku hakerskim.

Kim są cyberprzestępcy z Conti? Jak wskazuje The Record Media, grupa skupia się na „grubych rybach” – cyberataki ukierunkowuje w firmy, których roczne przychody sięgają 100 mln dolarów, co ma skutkować później żądaniem wielomilionowego okupu za odszyfrowanie danych czy dostęp do systemów. Przykładem niech będzie zmasowany atak na irlandzką służbę zdrowia oraz placówki edukacyjne.

Jeszcze do zeszłego tygodnia ta grupa APT mogła cieszyć się wieloma „sukcesami”, dopóki publicznie nie poparła rosyjskiej inwazji na Ukrainę, co wywołało niespodziewany wśród członków grupy efekt. Jeden z nich – jak się okazało Ukrainiec – ujawnił dane z wewnętrznego serwera Jabber gangu, gdzie prowadzono prywatną komunikację na kanale grupy. Zapiski z czatu – jego dwuletniej historii - pojawiają się na Twitterze, zostały także publicznie udostępnione.

„Panama Papers” w wykonaniu Conti

John Fokker, szef zespołu w firmie cyberbezpieczeństwa Trellix, cytowany przez The Record Media, zwraca uwagę, że w historii czatu gangu można znaleźć także pseudonimy członków, widzianych już w innych grupach ransomware. „Widzimy infrastrukturę należącą do słynnego trojana Trickbota. Widzimy hasła. Nazywam to Panama Papers o ransomware” - wskazuje.

Grupa miała od 65 do 100 stałych uczestników. Historia czatu sięga 2020 roku, kiedy dwóch hakerów zaczęło wysyłać do siebie wiadomości. Wkrótce potem wywołali falę ataków ransomware na około 400 szpitali w USA i Wielkiej Brytanii.

Przypomnijmy, że działali oni w oparciu o dobrze znany schemat ransomware, czyli instalacji złośliwego oprogramowania dla okupu: wykorzystywali luki w zabezpieczeniach, by wydobyć ważne informacje, a następnie zainstalować złośliwe oprogramowanie i uniemożliwić dostęp do danych, aż do czasu zapłaty oczekiwanej przez nich kwoty. Czasami – w swoim działaniu – informowali wprost, ile danych wykradli i co to może oznaczać dla firmy, jeśli dane te zostałyby przekazane obcym podmiotom lub upublicznione.

„Cześć! To jest zespół Conti. Jak już wiesz, zinfiltrowaliśmy twoje sieci… pobraliśmy twoje krytyczne informacje o łącznej objętości 450 GB” – można było przeczytać w jednym z komunikatów.

Oprócz systemów szpitalnych, Conti atakowało także duże firmy, takie jak Garmin, Pitney Bowes i Tribune Publishing.

Jeden z analityków bezpieczeństwa z Kanady, który sam pracuje w zespole zajmującym się ochroną systemów finansowych przed cybergangami, ocenia, że ci hakerzy są „tacy, jak my”. Po czym to stwierdza? Po analizie wiadomości z czatu, którzy mają – tak jak zwykli pracownicy – prosić o płatny urlop, planować aktywności ze współpracownikami czy dzielić się biurowymi plotkami.

Ostrzeżenia przed cyberdziałaniem Conti

We wrześniu 2021 roku CISA (Cybersecurity and Infrastructure Security Agency, amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury), FBI i NSA opublikowały wspólny alert, ostrzegający przed ponowną, wzmożoną aktywnością Conti. Komunikat stwierdzał, że ransomware Conti został do tej pory wykorzystany w ponad 400 atakach w USA i innych krajach. Alert zawierał ponadto informacje techniczne na temat ataków oraz zalecenia mające na celu zmniejszenie ryzyka. Ostrzeżenie to zostało wydane tuż po tym, jak dwie spółdzielnie rolnicze padły ofiarą ataków ransomware.

Jak informowaliśmy, grupa wykorzystywała szeroką gamę narzędzi i metod - kampanie spear-phishingowe, oprogramowanie do zdalnego pulpitu oraz oprogramowanie do zdalnego monitorowania i zarządzania. W niektórych przypadkach Conti wykorzystuje również złośliwe oprogramowanie TrickBot do wykonywania określonych zadań.

Conti to rosyjski gang, który jest uważany za bezwzględny. To pierwsza profesjonalna grupa oprogramowania ransomware. Po inwazji na Ukrainę, gang stanął po stronie Rosji, obiecując „pełne poparcie” dla agresji Władimira Putina na Ukrainę. Conti groził na swoim blogu, że wykorzysta „pełną zdolność” do odwetu w obliczu „zachodnich podżegaczy wojennych, próbujących wycelować w krytyczną infrastrukturę w Rosji lub dowolnym rosyjskojęzycznym regionie świata”.

Jak informowaliśmy na bieżąco, opowiedzenie się za Rosją wywołało sprzeciw u jednego z członków grupy. Ukrainiec postanowił dokonać wycieku wewnętrznych danych, a wśród nich m.in. zapisów czatu grupowego czy listy członków, co doprowadziło do jej osłabienia i rozłamu.

Wielki powrót

Choć niektórzy już cieszyli się, że to koniec gangu Conti, kilka dni po przeciekach, gang nadal prosperuje. Zdaniem jednego z cytowanych przez Cyberscoop dyrektorów ds. cyberbezpieczeństwa w firmie AdvIntel, od tego tygodnia grupa przeprowadziła już pomyślnie co najmniej dwa nowe naruszenia bezpieczeństwa danych w amerykańskich firmach. „Conti wróciło i nadal działa i będzie realizować więcej celów. Są cali i zdrowi” – można usłyszeć komentarz.

Przywódcy gangu mieli szybko podjąć wysiłki, aby przenieść swoją infrastrukturę działania, ujawnioną w ramach wycieku danych, co początkowo mogło spowolnić ich aktywność, ale „czas bezkrólewia gangu dobiegł końca”. Swoje działania mają podejmować m.in. poprzez próby naruszeń przy pomocy luk bezpieczeństwa czy wysyłanie wiadomości phishingowych.

Część serwerów, należących do gangu ma nadal nie działać, ale ponieważ stanowi to wciąż mniejszość, organizowanie cyberataków ma być nadal możliwe.

Zdaniem ekspertów nic, poza eliminacją ich z „biznesu” przez organy ścigania nie może kolektywowi Conti, którego członkowie pozostają anonimowi i jednocześnie są wysoko wykwalifikowani – w pełni zaszkodzić. Eksperci twierdzą, że nawet jeśli Conti pomniejszy się w odpowiedzi na przecieki, gang nie wycofa się „z interesu”, dopóki rosyjski rząd nie zajmie się ich działalnością (co może wcale nie być władzy na rękę) czy też nie zezwoli na to USA.

Zdaniem cytowanych przez Cyberscoop analityków ds. cyberbezpieczeństwa, Conti może stracić niektórych członków, ale przekształcą się i powrócą silniejsi, ponieważ „uczą się na błędach”, a zawrotność możliwych do wyłudzenia sum sprawia, że większa jest mobilizacja cyberprzestępców, by wrócić do dochodowej działalności w oparciu o ransomware.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.