گروه Conti با هک های زنجیره ای به بیش 40 orgs در یک ماه نفوذ کرده است.

گروه Conti با هک های زنجیره ای به بیش 40 orgs در یک ماه نفوذ کرده است.

گروه باج افزاری Conti یکی از تهاجمی ترین عملیات های باج افزاری را به راه انداخته و بسیار سازمان یافته رشد کرده است تا جایی که توانسته است 40 شرکت را در یک ماه هک کند.

گروه باج افزاری Conti یکی از تهاجمی ترین عملیات های باج افزاری را به راه انداخته و بسیار سازمان یافته رشد کرده است تا جایی که توانسته است 40 شرکت را در یک ماه هک کند.
محققان امنیتی اسم این کمپین هک را ARMattack نامیده اند و آن را به عنوان یکی از "فوق تاثیرگذار" و " سازنده ترین" عملیات های این گروه نامیده اند.


عملیات بسیار سریع ARMattack
در یک گزارشی که با BleepingComputer به اشتراک گذاشته شده، محققان در شرکت امنیت مجازی Group-IB اعلام کرده اند که "سازنده ترین عملیات" این گروه، سال قبل بین 17 نوامبر ( 26 آبان 1400 ) تا 20 دسامبر 2021 ( 30 آذر 1400 ) اتفاق افتاد.
آن ها عملیات هکینگ یک ماهه ی این گروه را در طی واکنش های به این حادثه کشف کردند و آن را ARMattack نامیدند، که براساس اسم دامینی که زیرساخت این گروه را افشا میکرد است.
در طی عملیات، زیر مجموعه های Conti موفق به نفوذ بیش از 40 شرکت در بخش های متنوعی در سرتاسر جهان، اما با تمرکز بر روی شرکت های درون آمریکا شدند.

 

باج افزار Conti


یک سخنگوی Group-IB به BleepingComputer گفته است که ARMattack بسیار سریع بوده و توضیح داده است که گزارش این شرکت به شرکت هایی اشاره دارد که شبکه آن ها مورد نفوذ قرار گرفته است. این موضوع هنوز مبهم است که آیا قربانیان باج درخواستی توسط حمله کننده را پذیرفته اند یا خیر.
لازم به ذکر است در حالی که Conti اطلاعات لو رفته برای 46 قربانی را تنها در یک ماه ذکر کرده است، تاریخ نفوذ ناشناس مانده است.


Group-IB : " پس از دسترسی به زیر ساخت شرکت، افراد هکر مستندات خاصی را برمیدارند ( اغلب برای اینکه تعیین کنند با چه شرکتی مواجه هستند ) و به دنبال فایل های شامل رمز عبور میگردند ( به صورت متنی و رمز گذاری شده ). در آخر، پس از بدست آوردن تمام دسترسی های ضروری و دسترسی به تمام دستگاه هایی که به آن اهمیت میدهند، هکر ها باج افزار ها را در تمام دستگاه ها پیاده میکند و آن را اجرا میکند. "


ساعات "Office"
با استفاده از اطلاعات بدست آمده در منابع عمومی، همانند چت های داخلی لو رفته گروه، Group-IB "ساعات کاری" Conti را آنالیز کرده است.
طبق تحقیقات، اعضای Conti روزانه 14 ساعت فعال هستند، بغیر از تعطیلات سال نو، یک تقویم که معیاری برای بازدهی آن ها است.
Group-IB اعلام کرده است که فعالیت گروه متمایل به ظهر آغاز میشود ( مسکو تایم، GMT +3 ) و پس از ساعت 9 PM خاتمه میابد. اعضای Conti به احتمال زیاد در تایم زون های زمانی مختلف پراکنده اند.
علاوه براین، محققان تاکید میکنند که این گروه همانند یک شغل معتبر رسمی فعالیت میکند، با افرادی که مامور شده اند تا "جستجو برای نیرو، تحقیق و توسعه، انجام کار های OSINT و فراهم کردن پشتیبانی" را انجام دهند.
تلاش های Conti برای به روز ماندن شامل بررسی کردن به روزرسانی های ویندوز و آنالیز کردن تغییرات از هر وصله، کشف آسیب پذیری های Zero-days که بتواند در حمله ها استفاده شود و اکسپلویت کردن آسیب های امنیتی افشا شده میشود.


Ivan Pisarev، سرپرست تیم Dynamic Malware Analysis در تیم Threat Intelligence گروه Group-IB :
" افزایش فعالیت های Conti و دیتای لو رفته میتواند نشانه ی این باشد که باج افزار دیگر یک فعالیت برای توسعه دهنده های متوسط باج افزاری نیست، اما یک صعنت illicit RaaS است که به هزاران مجرم سایبری در سرتاسر دنیا با مهارت های متفاوت فرصت شغلی میدهد."


نوک قله فعالیت های باج افزاری
Conti در حال حاضر یکی از سه گروه باج افزاری برتر در زمینه تعداد حملات، دومین بعد از LockBit در این سال است، به ازای دیتای جمع آوری شده از ربع اول 2022.
از هنگامی که این گروه به صورت عمومی شناخته شد، لیست قربانیان حمله شده که باج مهاجم را پرداخت نکرده اند به 859 افزایش پیدا کرده است، اگرچه عدد واقعی باید بسیار بیشتر باشد زیرا شمارش فقط براساس دیتای منتشر شده بر روی وبسایت انتشار لو رفته بوده است.
اگر فقط براساس این آمار قضاوت کنیم، به طور میانگین، Conti هر ماه اطلاعات دزدی شده حداقل 35 شرکت را منتشر کرده است که باج را پرداخت نکرده اند.
اولین حمله باج افزاری Conti که BleepingComputer متوجه آن شد اواخر دسامبر 2019 بوده است. طبق گفته های Group-IB، نسخه های تست ابتدای بدافزار تا نوامبر 2019 ردیابی شده است.
یکی از بدنام ترین حمله ها اخیرا اتفاق افتاده، رمزگذاری سیستم های چندین بخش دولت کاستریکا، که باعث شد رئیس جمهور این کشور وضعیت را بحران ملی توصیف کند.
جدا از لو رفتن چت و سورس کد ها، Conti به فعالیت پر سود خود ادامه داده که نشانه ی کمی از ورشکستگی نشان میدهد.
این گروه فعالیت های خود را با همکاری با دیگر گروه های باج افزاری گسترش داده است (HelloKitty، AvosLocker، Hive، BlackCat، BlackByte، LockBit ) و توسعه دادن عملیات هایی همانند TrickBot.
جدا از این حرکاتی که برای گسترش فعالیتشان انجام شده، رهبران تیم های Conti اعلام کرده اند که دیگر این برند وجود ندارد و آنها زیرساختشان را آفلاین کرده اند.
در حالی که وبسایت های پرداخت و انتشار اطلاعات همچنان عملیاتی بودند، محققان اعلام کرده اند اینکار انجام شده است تا به نظر بیاید که آن ها همچنان مانند قبل فعالیت میکنند.
اگرچه، این گروه همچنان فعالیت میکند، با همکاری Conti با گروه های کوچکتر باج افزاری برای حمله، در یک تلاش است تا به بخش های کوچکتر به جای تغییر برند به یک گروه بزرگتر باشد.
این باعث میشود تا مجرمان سایبری با تجربه به دیگر گروه های باج افزاری پراکنده شوند در حالی که همچنان به گروه Conti وفادار هستند.

باج افزار Conti

Conti آنقدر به گروه بزرگی تبدیل شده است که دولت آمریکا تا 15 میلیون دلار پیشنهاد برای اطلاعاتی داده که منجر به شناسایی موقعیت و هویت رهبران این گروه شود.

 

منبع : www.bleepingcomputer.com