2023/03/18 16:07:11

Conti (вирус-вымогатель)

Содержание

Вирусы-вымогатели (шифровальщики)
2023
- Создание инструмента для разблокировки компьютеров, зараженных вирусом Conti
- Банда вымогателей LockBit начала применять шифровальщик на базе кода нашумевшего вредоноса Conti
2022
- Как работает хакерская группировка Conti
- Сбой работы ИТ-систем Delta Electronics из-за атаки вируса-вымогателя
2020: Атаки на 16 медучреждений в США
Смотрите также
Примечания

Вирусы-вымогатели (шифровальщики)

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

2023

Создание инструмента для разблокировки компьютеров, зараженных вирусом Conti

16 марта 2023 года «Лаборатория Касперского» выпустила новый инструмент дешифрования, который поможет жертвам программ-вымогателей, созданных на основе исходного кода Conti, восстановить свои данные.

Conti — одна из самых активных кибергруппировок среди вымогателей. Исходники одноименного зловреда оказались в интернете в марте 2022 года после внутреннего конфликта, вызванного геополитическим кризисом в Европе. Впоследствии код был использован другими злоумышленниками для создания модификаций вымогателя, в частности, Meow. Эта версия вируса распространялась неизвестной группой киберпреступников и использовалась для атак на коммерческие компании и государственные учреждения.

«Лаборатория Касперского» выпустила инструмент для разблокировки компьютеров, зараженных вирусом Conti

В конце февраля 2023 года специалисты «Лаборатории Касперского» обнаружили на форумах в интернете новую порцию данных, связанных с Conti. Анализ показал, что они содержат 258 закрытых ключей шифрования, исходный код и в отдельных случаях предварительно скомпилированные дешифраторы для вредоносной программы Meow. На одном из форумов также содержалось сообщение о том, что кибергруппировка прекращает свою деятельность, а поэтому публикует информацию для раскодирования файлов своих жертв.

Сообщается, что закрытые ключи находятся в 257 папках (одна из них содержит два ключа). В 14 директориях содержатся ранее сгенерированные расшифровщики, а 34 папки имеют явные названия компаний и государственных учреждений. Проанализировав обнародованные данные, специалисты «Лаборатории Касперского» добавили алгоритмы дешифровки для зловреда Meow в последнюю сборку утилиты Rakhni Decryptor (1.40.0.00).

Если предположить, что одна папка соответствует одной жертве, а дешифраторы были сгенерированы для жертв, заплативших выкуп, можно предположить, что 14 жертв из 257 перевели деньги злоумышленникам», — отмечает «Лаборатория Касперского».^[1]

Банда вымогателей LockBit начала применять шифровальщик на базе кода нашумевшего вредоноса Conti

Банда вымогателей LockBit снова начала использовать сторонние шифровальщики в своих атаках. На этот раз злоумышленники воспользовались программой, основанной на утечке исходного кода Conti. Об этом стало известно 2 февраля 2023 года. Подробнее здесь.

2022

Как работает хакерская группировка Conti

23 июня 2022 года в российской компании Group-IB, специализирующейся на обеспечении информационной безопасности, рассказали о деятельности хакерской группировки Conti, которая занимается распространением вирус-вымогателей.

По сообщению Group-IB, Conti является «криминальной IT-компанией», у которой есть свои отделы кадров, исследований и разработки (R&D), разведки по открытым источникам (OSINT), а также регулярная выплата зарплат, система мотивации и отпуска. Команда работает с 12:00 до 21:00 по московскому времени — по 14 часов семь дней в неделю. При этом у хакеров бывают каникулы.

Зарплаты, отпуска, система мотивация и отдел кадров. Как работает одна из крупнейших в мире хакерских группировок-вымогателей

Согласно отчету, обнародованному Group-IB 23 июня 2022 года, с начала 2022-го в Conti опубликовали данные 156 компаний. Суммарно же список их жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство - в апреле атака Conti против Коста-Рики привела к введению чрезвычайного положения в стране - это первый прецедент такого масштаба.

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их, рассказали в Group-IB.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.8 т

Хакеры атакуют организации во многих регионах мирах, избегая атак на компании и организации из России, указывает Group-IB. Чаще всего группировка атакует компании и ведомства в США (58,4% всех атак), за ней следуют Канада (7%), Англия (6,6%), Германия (5,8%), Франция (3,9%) и Италия (3,1%). ^[2]

Сбой работы ИТ-систем Delta Electronics из-за атаки вируса-вымогателя

В конце января 2022 года Delta Electronics подверглась атаке вируса-вымогателя Conti. Вредоносная программа классифицируется экспертами как очень опасная из-за возможного ущерба, который ПО может нанести устройству. Для шифрования файлов могут использоваться надежные алгоритмы шифрования, предотвращающие открытие файлов. Подробнее здесь.

2020: Атаки на 16 медучреждений в США

В конце мая 2021 года ФБР сообщило, что операторы программ-вымогателей Conti пытались взломать в 2020 году сети 16 американских организаций здравоохранения и служб быстрого реагирования.

По сообщению ФБР, деятельность Conti связана как минимум с 400 кибератаками на организации по всему миру, из которых не менее 290 были совершены в Соединенных Штатах.

Как сообщает агентство, требования Conti о выкупе подбираются индивидуально для каждой жертвы, среди последних требований хакеров выкуп в размере $25 млн. Жертвы взломов призывают обмениваться информацией об атаках хакерской группировки, чтобы помочь ФБР предотвратить будущие атаки и идентифицировать личности злоумышленников.

Вирус-вымогатель Conti атаковал 16 медучреждений в США

Conti, как правило, изначально получает доступ к сети жертвы с помощью украденных учетных данных, RDP или фишинговых кампаний.

В сообщении ФБР говорится:

Если жертва не отвечает на требование выкупа через два-восемь дней после развертывания программы-вымогателя, представители Conti часто звонят жертве, используя одноразовые номера. Злоумышленники также могут общаться с жертвой с помощью ProtonMail, и в некоторых случаях жертвы договариваются о снижении выкупа.

ФБР не советует жертвам атак программ-вымогателей платить выкуп, потому что гарантий того, что хакеры предоставят после оплаты ключи дешифрования, нет, а каждая успешная попытка вымогательства только способствует преступной деятельности, связанной с программами-вымогателями. Более того, ФБР призывает правоохранительные органы быть прозрачными в случае инцидентов с вымогательством.

По сообщению ИБ-исследователей Coveware, вирус-вымогатель Conti является вторым по частоте использования хакерами. На него приходится 10,2% из всех кибератак с использованием вымогателя за первый квартал 2021 года.^[3]