Ako ste posljednjih godinu dana pratili krajolik kibernetičkog kriminala, sigurno ste čitali o ransomware grupi Conti – jednoj od najvećih organiziranih kriminalnih skupina koje djeluju u ovom trenutku. Proslavili su se iznuđivanjem velikih svota novca od preko 700 poduzeća od 2020. Međutim, stvari su krenule nizbrdo za Conti nakon što su nedavno i oni sami hakirani!
Dana 25. veljače 2022. grupa je dala javnu izjavu u kojoj je objavila da podržavaju Rusiju u svjetlu aktualnih događaja. Taj je stav podigao prašinu, a samo nekoliko dana kasnije, 27. veljače, pojavio se novi Twitter račun pod nazivom "ContiLeaks" i počeo dijeliti osjetljive informacije o Contiju.
ContiLeaks, ukrajinski istraživač sigurnosti, o kojem se pričalo, objavio je golem zapis koji uključuje stotine tisuća poruka između članova grupe. Tim za istraživanje Check Pointa i Brian Krebs preuzeli su na sebe skeniranje goleme količine poruka kako bi dobili uvid u operativne aktivnosti grupe.
Atlas VPN još je više destilirao podatke kako bi jasno pokazao kako izgleda “ured” jedne od najvećih, ako ne i najveće, cyber kriminalne skupine. Naravno, značajan dio profesionalnih zanimanja pošiljatelja ostao je neidentificiran, ali je slika ipak prilično jasna.
Prema gornjoj tablici, koderi čine okosnicu Conti-ja. Koderi su zaduženi za 'matice i vijke' stvarnog koda zlonamjernog softvera, koji je središnji za njihovu cjelokupnu operaciju ransomwarea.
Conti također ima najmanje 9 testera i kriptera, bez kojih bi bilo gotovo nemoguće isporučiti zlonamjerni softver. Oni rade ruku pod ruku kako bi stvorili rješenja koja će virusu omogućiti da prođe kroz najnovije sigurnosne mjere.
Testeri pokreću zlonamjerni softver kroz različita sigurnosna rješenja na koja očekuju da će naići kada napadnu svoju ciljnu tvrtku. S druge strane, kripteri su odgovorni za zamagljivanje, što će omogućiti virusu da prođe kroz ta rješenja. Kripteri zamagljuju virus unoseći sintaktičke promjene u korisne podatke, binarne datoteke i skripte kako bi ih bilo teže otkriti i analizirati.
Također možete pronaći najmanje šest ransomware operatera unutar Contija. Operateri su fiksni telefon između žrtve i grupe. Oni razgovaraju izravno s predstavnicima žrtava kako bi pregovarali o otkupnini i procesu plaćanja. Operateri također prikupljaju informacije o fimancijskom avstvenom stanju tvrtke što im omogućuje postavljanje savršenog iznosa otkupnine. Ako tvrtka izjavi da nema dovoljno sredstava za pokrivanje otkupnine, operateri mogu povući ovu karticu.
Kao i svaka druga "tehnološka" tvrtka, Conti ima osoblje za ljudske resurse, sistemske administratore i podružnice.
Plaće u Contiju
Neki članovi, kao što su operateri ransomwarea, dobivaju naknadu kroz provizije, izračunate kao postotak plaćenog iznosa otkupnine i kreću se između 0,5% i 1%. Menadžeri i programeri obično dobivaju redovite plaće. Plaćanja se vrše jednom ili dvaput mjesečno u Bitcoinu.Kao i većina drugih tvrtki, Conti nudi bonuse svojim vrhunskim zaposlenicima. Ono što je izvan norme je smanjenje plaća zbog neuspjeha. To bi bilo protiv zakona za tvrtke koje posluju legalno.
Također, zapisi poruka koje su procurile otkrivaju da se Conti grupa čak i prije hakiranja bavila internim problemima i borila se s plaćanjem svojih zaposlenika. Jedan od njihovih šefova je nestao, navodno zbog povećane pažnje javnosti. Ukratko, čini se da će proći neko vrijeme dok se Conti ne oporavi i malo je vjerojatno da ćemo vidjeti neku veću aktivnost u sljedećih nekoliko mjeseci.