Conti — киберкриминальный стартап

В киберкриминал приходят люди с самым разным опытом. Cреди них могут быть и матёрые топ-менеджеры.

Так, кажется, было с русскоязычной группировкой вымогателей Wizard Spider, более известной под именем их шифровального ПО Conti. Вымогатели (или шифровальщики) шифруют файлы на взломанной системе и требуют у жертвы выкуп за расшифровку.

Сейчас популярно перед шифрованием файлы копировать к себе, чтобы дополнительно давить через угрозу их публикации в случае неуплаты — Conti тоже использовала эту модель. Они начали работу с собственным шифровальщиком в конце 2019, до этого примерно с 2018 используя сторонние решения.

Conti работала по сверхпопулярной сегодня модели RaaS (Ransomware-as-a-Service), где группа самостоятельно занимается разработкой шифровального ПО, а ломать системы жертв для его разворачивания приглашает партнеров (сторонних хакеров) за процент от атаки (обычно до 20% группе).

В феврале 2022, спустя сотни атак на бизнесы и даже целые страны, лидерство группы выразило свою поддержку российскому правительству, о чем наверняка сильно пожалело, но было уже поздно — противоречия среди участников группы с и без того высокой кадровой текучкой приблизились к точке невозврата.

Через несколько дней после “патриотического” обращения Conti украинский анон опубликовал логи более чем 60 тыс их сообщений в Jabber (оригинальные ссылки anonfiles умерли, есть зеркало). Это было лишь начало его сливов. И тут понеслась.

Радости и энтузиазму сообщества безопасников всего мира не было предела. Все ринулись изучать внутрянку одной из наиболее успешных рансомварь-групп в 2022. Для многих это стало откровением. Реальная картина сильно отличалась от их ожиданий — это была скорее ИТ-компания, а не просто группа хакеров.

По разным сообщениям в утекших чатах можно судить, что в Conti в разное время было до 100 сотрудников, часть из которых даже не знали, что работали на криминал. Лидер группы под никами Stern и Demon, как образцовый надоедливый начальник в офисе, по нескольку раз в день приседал на уши десяткам “сотрудников” широковещательными сообщениями а-ля “привет, че-как, какие успехи, провалы?”.

За провалы в “организации” накладывались штрафы, раз в месяц проходили выборы сотрудника месяца. В “штате” Conti были не только хакеры и пара начальников, но целые отделы: отдел разработки малвари, отдел её тестирования, применения (“пентестеры”), исследовательский отдел, кадровый, финансовый и, конечно, бизнес-отдел (переговорщики с жертвами).

После слива сообщений группы в сеть попали исходный код их шифровальщика с собственной реализацией AES-256 с 32 потоками шифрования, в несколько раз обгонявшего по скорости работы аналоги. C утечками пришел и ответ на быстро всплывший вопрос «как группе удалось развиться до такого уровня?». Организация оперировала из культурной столицы РФ и делилась всеми украденными данными — неважно ценные они или нет — с ФСБ.

В итоге п…отеряв все полимеры и ожидая волны деанонов, Conti ушли в закат. На момент объявления о сворачивании всех операций их кошельки собрали битка на более чем $2 млрд. Столько организаторы сколотили за 2 года работы и 800+ атак. В 2023 американские и британские силовики выкатили санкции против 18 человек, по их мнению причастных к Wizard Spider, в число которых входят и админы.

Onion Persona | Onion Links