اسناد داخلی که اخیراً توسط یکی از اعضای گروه باج افزار Conti فاش شده است، وضعیت این باند را به عنوان یک سازمان تجاری چند لایه نشان می دهد.
محققان BreachQuest، یک شرکت امنیت سایبری و پاسخ به حوادث مستقر در دالاس، روز چهارشنبه تحلیل خود را از گزارشهای چت منتشر کردند که یکی از اعضای ناراضی گروه ابتدا در کانالهای خصوصی و سپس در توییتر چندین هفته پیش پست کرده بود. این افشاگری ها به دنبال یک پیام تهاجمی طرفدار روسیه در وب سایت این گروه محبوب باج افزار بود.
به گفته مارکو فیگوئروا، محصول اصلی BreachQuest و محقق سابق تهدیدات در SentinelOne، هدف این انتشار کمک به سازمانها برای درک عملکرد درونی زیرساختهای سازمانی Conti است.
این گزارشهای چت، نگاهی عمیق به ارقام درآمد، رهبران، شیوههای استخدام، عملیات و قربانیان باند باج میدهند.
یکی از شگفتانگیزترین اکتشافات این است که رهبر این گروه سرمایهگذاری هنگفتی روی بیتکوین میکند و شبکه بلاک چین خود را برای حمایت از گروه Conti ایجاد میکند. فیگوئروآ تأیید کرد که کلید دیگری که از مکالمات چت فاش شد این است که تقریباً همه اعضای گروه در روسیه زندگی می کنند.
«این دستگاهی است که به خوبی روغن کاری شده است و مدتی در کار بوده است. آنها در ماه سپتامبر 50 میلیون دلار درآمد داشتند.
نمای کلی گزارش های چت
گروه Conte قبلاً اعلام کرده بود که در حمایت از تهاجم روسیه به اوکراین، کمپینهای حمله سایبری را انجام خواهد داد.
بر اساس گزارش BreachQuest، جامعه infosec پس از آن شروع به انتشار اطلاعات درز ارائه شده توسط یک محقق امنیتی اوکراینی کرد که جزئیات چندین سال گزارش چت داخلی را نشان می داد که عملیات کونتی را فاش می کرد.
سوابق فاش شده نشان می دهد که Conti حملات را به شرکت ها یا اهداف بزرگ محدود نمی کند. آنها همچنین دنبال مشاغل کوچک می روند.
فیگوروآ گفت که یکی از اهداف اصلی کونته، به حداکثر رساندن همکاری قربانیان در پرداخت هزینه رمزگشایی داده های آنها از طریق مذاکرات قیمت است. این استراتژی شامل مجموعه ای از داده های به تدریج بزرگتر است تا زمانی که قربانیان با پرداخت موافقت کنند. تا زمانی که این کار انجام نشود، هر نسخه جدید اطلاعات هک شده دارای قیمت بالاتری است.
او گفت: «یکی از چیزهایی که وبلاگ نشان می دهد این است که آنها می خواهند به کار خود احترام بگذارند.
در وبلاگ BreachQuest در محتوای لاگ گنجانده نشد، زیرا بحثی در مورد اینکه چگونه یکی از شرکت های قربانی ممکن است در ازای پرداخت درخواست خصوصی داشته باشد وجود داشت. به گفته فیگوروآ، این شرکت می خواست تمام فایل های خود را دانلود کند و سپس کپی های Conte را حذف کند.
گزارشهای چت، بحثهای پشت سر هم و موافقت کونته را برای رعایت این موضوع نشان میدهد که نشانهای از اعتماد قربانیان به وعدههای کونته است.
به خوبی سازماندهی شده است
کنته در یک سلسله مراتب کارآمد سازماندهی شده بود که کارگران خود را در گروه های ماهر جدا می کرد. رهبران اصلی با اسامی و عناوین نامشخص مشخص می شوند.
کار کارکنان جدید مبهم باقی می ماند تا از درک بیش از حد آنها در مورد سازمان جلوگیری شود. گزارش BreachQuest خاطرنشان می کند که این ممکن است یک عامل کمک کننده به گردش مالی بالای سازمان و همچنین ماهیت مجرمانه کسب و کار باشد.
کونته تیم ها را با رهبر تیم به گروه هایی تقسیم می کند. بسیاری از رهبران ممکن است در گروه های بزرگ برای حفظ تکالیف کاری و آموزشی کار کنند.
به صراحت از کارگران خواسته می شود “گوش دهند، انجام دهند، یاد بگیرند، سوال بپرسند، راهنماها و دستورالعمل ها را دنبال کنند، و وظایف محول شده را کامل کنند.”
افشای اطلاعات کونته و جنگ جاری در اوکراین ممکن است رهبران کونته را تحت فشار قرار دهد…
