Grup, Royal ve Black Basta gibi Daha Çevik Dallar Biçiminde Yaşıyor
Mathew J. Schwartz (euroinfosec) •
1 Haziran 2023
Feshedilmiş Rusça konuşan Conti fidye yazılımı grubunun eski üyeleri, ticaretlerini çeşitli başka kisveler altında sürdürmeye devam ediyor.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Tehdit istihbaratı firması Red Sense’in baş araştırma sorumlusu Yelisey Bohuslavskiy, bu hafta yayınladığı bir raporda, daha bölümlere ayrılmış ve çevik yaklaşımları sayesinde “Conti sonrası her zamankinden daha güçlü” dedi.
Geçen yılın başlarında Conti’nin dahili iletişim sızıntıları, yaklaşık 120 kişiyi istihdam eden hiyerarşik olarak yönetilen bir organizasyonu ortaya çıkardı. FBI, Ocak 2022’ye kadar çetenin 1.000’den fazla kurban aracılığıyla 150 milyon doların üzerinde fidye ödemesi topladığını tahmin ediyor.
Bugün Conti, çeşitli yönetim stillerine sahip daha küçük ve daha çevik beş şube şeklinde yaşamını sürdürüyor. Bohuslavskiy, “Operasyonel olarak, birden fazla gruba bölünme Conti içinde yeniliği körükledi,” dedi. “Her grup, kendi özel hedeflerine göre hazırlanmış kendi taktiklerini ve stratejilerini takip ediyor.”
Conti sonrası operasyonlar, en başarılı fidye yazılımı operatörlerinin, kârlar ters gittiğinde iş planlarını yırtıp atmaktan ve sıfırdan başlamaktan korkmayan hevesli yenilikçiler olarak kaldığını gösteriyor. Conti’nin doğuşu şehirdeki tek fidye yazılımı oyuncuları olmasa da yan ürünler Royal ve Black Basta’nın göreli başarısı özellikle suçluların haraç yoluyla kar elde etmenin yeni yollarını bulmaya nasıl devam ettiğini gösteriyor.
Ceza Aldatma
Conti’nin düşüşü ve düşüşü, liderliğinin Şubat 2022’de Rusya Devlet Başkanı Vladimir Putin’in Ukrayna’ya karşı savaşını alenen destekleme kararından sonra başladı. Muhtemelen bir hukuk müşaviri tavsiyesi ve Rusya’ya uygulanan yaptırımların ihlal edilmesi konusundaki endişeler üzerine, kurbanlar kısa süre sonra Conti’ye fidye ödemeyi bıraktı. Kısacası markası yakıldı.
Güvenlik araştırmacılarının Conti’nin veri sızıntısı ve fidye müzakere sitelerini kapattığını bildirdiği Mayıs 2022’ye ileri saralım. Hareket, ABD hükümetinin önemli Conti liderlerini belirleyebilen herkese 10 milyon dolara kadar ve önemli bağlı kuruluşlara 5 milyon dolara kadar ödül vermesinden birkaç gün sonra geldi. Ödüllerin suçluların davranışını değiştirdiğine dair bir işaret yok.
Conti, çıkışına kadar, son dakikaya kadar Kosta Rika hükümetinin çok açık bir şekilde sarsılmasıyla uğraşan, devam eden bir endişe kaynağı olarak göründü.
Bu bir sis perdesi gibi görünüyordu. Kısmen Conti yan ürünü Hive’ın Kosta Rika’ya yönelik gasp girişimini devralmasının da gösterdiği gibi, grubun liderliği farklı isimler altında bir dizi daha küçük grup kurmuştu. Kısa bir süre sonra, kolluk kuvvetleri Hive’a sızdı ve Ocak ayında sunucularını muhtemelen ölümcül bir şekilde bozdu.
Conti Sonrası Grupların Gaspı
Conti’nin fişi çekmesinden bir yıl sonra, diğer şubeler haraç yoluyla yeni kurbanlar ve yasadışı kazançlar toplamaya devam ediyor. Bohuslavskiy’nin raporu, Conti sonrası operasyonları oluşturan çoklu grupları veya kolektifleri şöyle açıklıyor:
- Asil: Eskiden Conti Team Two olan bu çok başarılı operasyonda, dört ila beş kişilik küçük ekipler halinde çalışan – REvil, Hive, HelloKitty/FiveHands’ın eski üyeleri de dahil olmak üzere – Conti saflarından seçilen veya yeni işe alınan 60 bilgisayar korsanı, namı diğer pentester bulunuyor. Tipik saldırılar Emotet, IcedID veya kendi yükleyicisi ile başlar ve hedefleri hacklemek için Sliver gibi Cobalt Strike alternatiflerine güvenir, ardından grup Royal veya BlackSuit kripto-kilitleme kötü amaçlı yazılımını kullanır.
- Yeterince Siyah: Eskiden Conti Team Three olan grup, ilk erişim elde etmek için genellikle QBot’u ve ardından Black Basta’nın kripto-kilitleme kötü amaçlı yazılımını kullanır. BlackByte ve Karakurt grupları, veri hırsızlığını yönetir.
- Zeon: Eskiden Conti Group Team One olan grup, kötü sonuçlar nedeniyle kullanımdan kaldırılmış gibi görünen TrickBot’u çalıştırıyordu. Zeon, diğer Conti sonrası operasyonlardan daha az başarılı oldu.
- Sessiz Fidye Grubu: Eskiden Royal’in bir kolu olan SRG, geri arama kimlik avı kampanyaları denedi ancak çok başarılı olamadı.
- Avos Kilitleyici: Bu, İngilizce konuşanlardan oluşan bağlı bir gruptur.
Grupların farklı araçlar, altyapı ve kilit personel kullanması, yalın, cimri ve toplu halde izlemesi veya bozması daha zor kalmanın yeni yollarını bulmalarına yardımcı olur. Bohuslavskiy, veri sızıntısı sitelerine atıfta bulunarak, “Her grup kendi özel dolaplarını, öncü kötü amaçlı yazılımlarını ve bloglarını tutar.” Dedi. “Bir grup devrilirse, diğer dördüne dokunulmaz.”
Conti sonrası fidye yazılımları artıyor.