名为 Conti 的勒索软件组织已正式关闭,其所有基础设施现已离线。
尽管这似乎是个好消息,但这只是表面上的好消息——孔蒂还没有结束,它只是分裂成更小的行动。
Conti 于 2020 年夏天作为 Ryuk 勒索软件的继任者推出。它依靠与其他恶意软件感染的合作来进行分发。 TrickBot 和 BazarLoader 等恶意软件是 Conti 的初始入口点,然后继续进行攻击。事实证明,Conti 非常成功,最终演变成一个网络犯罪集团,接管了 TrickBot、BazarLoader 和 Emotet。
在过去的两年中,Conti 进行了多次引人注目的攻击,目标是 Tulsa 市、Advantech 和 Broward 县公立学校。 Conti 还扣押了爱尔兰卫生服务执行官和卫生部的 IT 系统数周的赎金,只有在他们面临世界各地执法部门的严重麻烦时才放手。然而,这次袭击却让孔蒂受到了全球媒体的极大关注。
最近,它的目标是哥斯达黎加,但根据Advanced Intel的 Yelisey Bogslavskiy 的说法,这次攻击只是掩盖 Conti 正在解散整个行动的事实。 Boguslavskiy 告诉Bleeping Computer ,对哥斯达黎加的攻击如此公开是为了让 Conti 的成员有时间迁移到不同的勒索软件操作。
“孔蒂领导层内部宣布了以宣传而非赎金为目的对哥斯达黎加进行袭击的议程。小组成员之间的内部沟通表明,要求的赎金远低于 100 万美元(尽管未经证实的赎金声称为 1000 万美元,孔蒂自己声称赎金为 2000 万美元)。 Advanced Intel 的报告,由 Bleeping Computer 提前分享。
孔蒂的最终终结是由于该组织公开批准俄罗斯及其入侵乌克兰。在官方渠道上,孔蒂甚至表示将集中所有资源来保护俄罗斯免受可能的网络攻击。随后,一名乌克兰安全研究人员泄露了 Conti 集团成员之间的 170,000 多条内部聊天消息,最终还泄露了该团伙勒索软件加密器的源代码。这个加密器后来被用来攻击俄罗斯实体。
就目前的情况来看,康帝的所有基础设施都已经下线,集团领导表示,品牌完蛋了。然而,这并不意味着 Conti 成员将不再从事网络犯罪。根据 Boguslavskiy 的说法,Conti 的领导层决定与 AvosLocker、HelloKitty、Hive、BlackCat 和 BlackByte 等较小的勒索软件团伙分道扬镳。
以前的 Conti 勒索软件团伙的成员,包括英特尔分析师、渗透测试人员、开发人员和谈判人员,分布在各种网络犯罪活动中,但他们仍然是 Conti 集团的一部分,属于同一领导。这有助于他们避免执法,同时仍然执行与 Conti 品牌相同的网络攻击。
Conti 被认为是有史以来最昂贵和最危险的勒索软件类型之一,在其两年的时间里收集了超过 1.5 亿美元的赎金。美国政府提供高达 1500 万美元的巨额奖励,以帮助确定与 Conti 相关的个人,尤其是那些担任领导职务的个人。