兩年“賺”170 億元贖金！俄羅斯勒索軟件組織 Conti 有 HR、績效考核

北京時間 4 月 14 日消息，2021 年，俄羅斯組織 Conti 被美國聯(lián)邦調(diào)查局 (FBI) 列為了最猖獗的勒索軟件組織之一。不過現(xiàn)在，一系列內(nèi)部文件的泄露可能讓它明白了作為網(wǎng)絡間諜活動受害者的感受。

這些泄露的文件揭示了 Conti 的組織規(guī)模、領導層和業(yè)務運作的細節(jié)，以及被認為是該組織最珍貴的資產(chǎn)：勒索軟件源代碼。文件之所被泄露，可能是因為 Conti 支持俄羅斯的立場遭到報復。

威脅情報公司 Cyberint 安全研究員薩繆爾?基恩 (Shmuel Gihon) 表示，Conti 在 2020 年出現(xiàn)，并成長為世界上最大的勒索軟件組織之一。據(jù)他估計，該組織大約有 350 名成員，他們在短短兩年內(nèi)共賺取了約 27 億美元 (約合 172 億元) 的加密貨幣。

FBI 在其《2021 年互聯(lián)網(wǎng)犯罪報告》中警告稱，Conti 的勒索軟件是去年鎖定美國關鍵基礎設施的“三大變體”之一。FBI 表示，Conti“最經(jīng)常攻擊的對象是關鍵制造業(yè)、商業(yè)設施、食品和農(nóng)業(yè)部門”。

“目前為止，它們是最成功的組織。”基恩稱。

就像普通科技公司

Conti 完全隱匿，不像黑客組織“匿名者”(Anonymous) 那樣有時對新聞媒體發(fā)表評論。但 Cyberint、Check Point 和其他分析了泄露信息的網(wǎng)絡安全機構表示，這些信息顯示 Conti 的運營和組織方式就像是一家普通科技公司。

軟件技術公司 Check Point 威脅情報部門負責人洛特姆?芬克爾斯坦 (Lotem Finkelstein) 指出，在翻譯了許多用俄語撰寫的信息后，其情報部門 Check Point Research 認定 Conti 具備了明確的管理、財務和人力資源職能，以及典型的團隊負責人向高級管理層匯報的組織層級結構。根據(jù) Cyberint 的調(diào)查結果，有證據(jù)顯示 Conti 還有研發(fā)、業(yè)務開發(fā)部門。

▲ Conti 的組織結構

芬克爾斯坦稱，泄露的信息顯示 Conti 在俄羅斯設有辦公室，可能與俄羅斯政府有聯(lián)系?！拔覀儭?我們的假定是，如果沒有得到俄羅斯情報機構的全面批準，甚至是一些合作，這樣一個擁有實體辦公室和巨額收入的龐大組織是無法在俄羅斯開展活動的?！彼硎?。俄羅斯此前否認參與網(wǎng)絡攻擊。

評選月度最佳員工

Check Point Research 還發(fā)現(xiàn)，Conti 擁有這么幾類員工：

?受薪員工：其中一些人是用比特幣支付薪水，外加績效考核和培訓機會；

?談判代表：從支付的贖金中收取 0.5% 到 1% 的傭金；

?員工推薦計劃：如果員工可以招募到其他人并且讓其工作至少一個月，他們就能獲得獎金；

?月度最佳員工：可以獲得相當于一半工資的獎金。

Check Point Research 的研究顯示，與那些正大光明的公司不同的是，Conti 會對表現(xiàn)不佳的員工進行罰款。

▲ 員工表現(xiàn)不佳會被罰款

員工的真實身份也會被用戶名所隱藏，比如“大老板”斯特恩 (Stern)、“技術經(jīng)理”布扎 (Buza) 和“斯特恩的合作伙伴和實際的辦公室運營主管”塔吉特 (Target)。

“當與員工溝通時，Conti 高層往往會說，為 Conti 工作終生受益，可以獲得高工資、有趣的任務、職業(yè)成長?！盋heck Point Research 表示。

然而，一些泄露的信息卻描繪了一幅不同的畫面。例如，如果員工在三小時內(nèi)以及在周末和節(jié)假日工作時間沒有及時回復郵件，他們就會受到被解雇的威脅。

招聘流程

芬克爾斯坦說，Conti 既通過俄羅斯獵頭服務機構等合法渠道，也通過地下犯罪組織進行招聘。

《華盛頓郵報》前記者布萊恩?克雷布斯 (Brian Krebs) 在他的網(wǎng)絡安全網(wǎng)站 KrebsOnSecurity 上寫道，招聘很重要，因為“Conti 低級別員工的流動率、人員流失率和工作倦怠率都相當高，這或許并不令人意外”。

Check Point Research 稱，Conti 招聘的一些員工甚至不是計算機專家，它曾雇人在呼叫中心工作。FBI 已表示，“技術支持欺詐”呈上升趨勢，詐騙者冒充知名公司，提出解決電腦問題或取消訂閱費。

有些員工蒙在鼓里

“令人震驚的是，我們有證據(jù)表明，并非所有員工都充分意識到自己是網(wǎng)絡犯罪集團的一員，”芬克爾斯坦表示，“這些員工以為自己在為一家廣告公司工作，而實際上他們是在為一個臭名昭著的勒索軟件組織工作?！?/p>

泄露的信息顯示，Conti 經(jīng)理就公司的情況對求職者撒了謊。其中一個經(jīng)理對求職者說：“這里一切都是匿名的，公司的主要方向是為滲透測試者提供軟件”。滲透測試者是合法的網(wǎng)絡安全專家，他們模擬針對自己公司計算機網(wǎng)絡的網(wǎng)絡攻擊。

“大老板”斯特恩在一系列信息中解釋稱，該組織讓程序員從事一個模塊或部分軟件，而不是整個項目，從而讓他們蒙在鼓里。斯特恩稱，如果員工最終發(fā)現(xiàn)了真相，他們就會提出加薪以留住員工。

已經(jīng)倒閉了？

根據(jù) Check Point Research 的研究，甚至在信息泄露前，Conti 就表現(xiàn)出了運營困難的跡象。這些信息顯示，斯特恩在 1 月中旬左右陷入沉默，工資也停止發(fā)放。

就在 Conti 信息被泄露的幾天前，一條內(nèi)部消息稱：“到處都是泄密，有人被逮捕…… 沒有老板，沒有澄清…… 也沒有錢…… 我不得不要求你們所有人休假 2-3 個月?！?/p>

Check Point Research 稱，盡管 Conti 已舉步維艱，但它很可能會東山再起。與前競爭對手 REvil 不同的是，Conti 仍在“部分”運營。

Conti 經(jīng)受住了其他挫折，包括其使用的惡意軟件“惡作劇機器人”(Trickbot) 被暫時禁用，以及在 2021 年幾名疑似“惡作劇機器人”開發(fā)者被逮捕。

盡管打擊勒索軟件組織的努力正在持續(xù)進行，但 FBI 預計，關鍵基礎設施面臨的攻擊將在 2022 年增加。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。