Банда вирусов-вымогателей Conti вновь появилась и теперь действует как три группы: TRM Labs

По данным аналитической компании TRM Labs, занимающейся блокчейн-анализом, за последний год в мире киберпреступности произошли заметные изменения: на месте закрытой Hydra появились новые торговые площадки в даркнете, а операторы печально известной группы вирусов-вымогателей Conti провели ребрендинг и сменили названия.

Вновый отчетАнализируя перестройку индустрии киберпреступности с начала российской войны на Украине, TRM назвал предполагаемых преемников Conti, некогда печально известной банды вымогателей, которая вымогала сотни биткоинов у американских корпораций, включая организации здравоохранения, во время пандемии COVID-19. По данным TRM, Conti «переименовалась как минимум в три более мелкие группы: Black Basta, BlackByte и Karakurt».

Conti успешно атаковал несколько организаций в США, шифруя их ИТ-системы и требуя большой выкуп за разблокировку файлов. В 2022 году группапоклялся в верностив Россию в недавно начавшейся войне на Украине. Вскоре после этого, как утверждается, инсайдер, недовольный решениемпросочилась гигабайты сообщений участников группы друг другу, в которых они обсуждают взломы, выплаты, способы обналичивания Криптo и просто свою повседневную жизнь.

Но вскоре, либо из-за утечки, либо по каким-то другим причинам, Конти, как сообщается,прекратили деятельность. Однако хакеры не сдались, и Криптo , связанные с операторами Conti, остались активными и, вероятно, переключились на другие виды программ-вымогателей.

Читать дальше: Банда вирусов-вымогателей выманила 725 BTC за ONE атаку, обнаружили сыщики на блокчейне

В январе Chainalysis опубликованов отчете говорится, что кошельки предполагаемого лидера Conti Стерна «проводили транзакции с адресами, связанными с такими штаммами, как Quantum, Karakurt, Diavol и Royal в 2022 году после краха Conti», поскольку операторы программ-вымогателей, по-видимому, обычно работают с несколькими вариантами вредоносного ПО, одновременно сотрудничая с несколькими хакерскими группами.

TRM утверждает, что главным преемником Conti, скорее всего, является группа вирусов-вымогателей, известная какКаракурт. LINK между ними была ранее предложено экспертами по кибербезопасностиПо данным компании по кибербезопасности Avertium, Karakurt обычно атакует организации, которые уже были скомпрометированы ранее.

Как и Конти, Каракурт не был вышенападение на организации здравоохранения, в частности поставщик услуг по выставлению счетов Practice Resources, который былударять с атакой в ​​августе 2022 года. Однако, в отличие от Конти, Каракурт не шифровал файлы жертв, а только крал их и угрожал жертвам раскрыть их, если выкуп T будет заплачен.

По данным TRM Labs, Karakurt действует как минимум с октября 2021 года. И Conti, и Karakurt использовали один и тот же адрес для отправки платежей за вымогательство, полученных ими в октябре 2021 года, а позднее, по данным TRM, деньги были отправлены на «высокорискованную биржу».

«Хронология оффчейн- и ончейн-активности Karakurt подтверждает, что группа действовала задолго до официального закрытия Conti, которое произошло в мае 2023 года. Karakurt, по-видимому, была создана Conti в 2021 году и полностью заработала под новым брендом в 2022 году», — сказал CoinDesk глава юридического отдела и правительственных связей TRM Labs Ари Редборд. Он добавил, что, скорее всего, за Conti и Karakurt стоят одни и те же люди.

Что касается методов обналичивания для киберпреступников, то торговые площадки даркнета, где анонимные продавцы предлагают нелегальные наркотики, поддельные документы и другие теневые товары и услуги, становятся популярным каналом отмывания денег, говорится в отчете TRM Labs. В том смысле, что эти платформы объединяют средства своих пользователей на централизованных кошельках, они частично служат своего рода миксером, говорится в отчетах.

Этот вариант отмывания денег в последнее время привлекает еще больше киберпреступников, в частности тех, кто получает прибыль от материалов с детским сексуальным насилием (CSAM) или детской порнографии, заявила TRM. Фирма зарегистрировала всплеск притока Криптo , связанных с CSAM, на связанные с Россией платформы даркнета, говорится в отчете.

Война может помочь этой тенденции, поскольку Россия становится все более изолированной от Запада в политическом и экономическом смысле, заявил TRM. «Возможно, что политическое и экономическое отчуждение России от Запада подпитывает восприятие страны как дружественной юрисдикции для преступников, пытающихся уклониться от западных правоохранительных органов», — добавили в нем.