Хакеры «патриотической» группы Conti слили данные более 800 компаний
Связанная с Россией хакерская группировка Conti за два года опубликовала данные почти 900 международных компаний и государственных ведомств, подсчитала компания Group-IB, которая ведет исследования в области кибербезопасности. Отчет Group-IB о деятельности группировки есть у РБК.
Хакеры Conti занимаются шифрованием данных с целью получения выкупа. По данным Group-IB, исследователи компании обнаружили первые файлы с одноименным расширением.conti в феврале 2020 года, однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.
C июля 2020 года хакеры Conti также начали активно использовать технику «double extortion» — двойного давления на жертву: помимо вымогательства, злоумышленники выкладывают на собственном DLS-сайте (Dedicated Leak Site) выгруженные из атакованной инфраструктуры данные компаний, которые отказались платить выкуп. Группировка чаще всего атакует компании, которые входят в сферу производства (14%), недвижимости (11,1%), логистики (8,2%), услуг (7,1%) и торговли (5,5%).
«По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний», — говорится в отчете Group-IB. С января по апрель 2022 года в списке жертв вымогателей оказались еще 156 компании, итого 859 — за два года.
Кого атакуют хакеры
Хакеры атакуют организации во многих регионах мирах, избегая атак на компании и организации из России, указывает Group-IB. Чаще всего группировка атакует компании и ведомства в США (58,4% всех атак), за ней следуют Канада (7%), Англия (6,6%), Германия (5,8%), Франция (3,9%) и Италия (3,1%).
«Conti не атакуют Россию не только потому, что придерживается негласного правила киберкриминала «не работать по.ru», но и открыто заявляя, что являются «патриотами», — отмечают исследователи.
На следующий день после начала спецоперации России на Украине хакеры опубликовали в своем блоге сообщение, пообещав «полную поддержку» правительству президента России, сообщало агентство Reuters.
«Если кто-то решит организовать кибератаку или какие-либо военные действия против России, мы собираемся использовать все наши ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам противника», — цитировал заявление хакеров Reuters.
Позднее, как сообщает CyberScoop, хакеры смягчили опубликованное сообщение, дописав, что группировка «не является союзником какого-либо правительства» и осуждает продолжающиеся военные действия, а угроза принять ответные меры относится к потенциальным попыткам Запада начать кибервойну против российских граждан.
Из-за «патриотической» позиции в конце февраля 2022 года внутри группировки произошел раскол: один из вымогателей опубликовал внутреннюю переписку группировки, данные о серверах, которые используют хакеры, список их жертв, а также Bitcoin-кошельки, суммарно хранившие свыше 65 тыс. биткоинов, указывает Group-IB. «Из утечки стало известно, что у Conti — серьезные финансовые проблемы, «шеф» залег на дно, однако ее участники полны решимости перезапустить проект через 2–3 месяца», — отмечает Group-IB.
Несмотря на внутренний конфликт, группировка продолжила работу, и в апреле 2022 года организовала массированную атаку на целое государство — Коста-Рику. Злоумышленники взломали сети целого ряда ведомств страны — Минфина, Министерства науки, инноваций и технологий, Фонда социального развития и семейных пособий, Национальный метеорологический институт, Фонд социального обеспечения и др. Хакеры потребовали от правительства страны выкуп, правительство объявило, что платить злоумышленникам не намерено.
Избранный президент Коста-Рики Родриго Чавес 9 мая объявил о введении чрезвычайного положения в стране — на следующий день после вступления в должность. Это стало первым в мире прецедентом, когда чрезвычайное положение в стране ввели из-за кибератак.