Ransomware Gang Conti знову з’явилася на поверхні та тепер працює як три групи: TRM Labs

За останній рік у світі кіберзлочинності відбулися помітні зміни: нові ринки даркнету зайняли місце закритої Hydra, а оператори сумнозвісної групи програм-вимагачів Conti перейменували під нові назви, повідомила аналітична компанія блокчейнів TRM Labs.

В а новий звіт Аналізуючи зміну індустрії кіберзлочинності з початку російської війни в Україні, TRM назвала ймовірних наступників Conti, колись сумнозвісної групи програм-вимагачів, яка вимагала сотні біткойнів у американських корпорацій, включно з організаціями охорони здоров’я під час пандемії COVID-19. Згідно з TRM, Conti «ребрендингував щонайменше три менші групи: Black Basta, BlackByte і Karakurt».

Conti успішно атакує численні організації в США, шифруючи їхні ІТ-системи та вимагаючи великий викуп за розблокування файлів. У 2022 році група присягнув на вірність до Росії в нещодавно розпочатій війні в Україні. Незабаром після цього нібито інсайдер незадоволений таким рішенням витік гігабайти повідомлень учасників групи один одному, обговорюючи хаки, виплати, способи переведення Крипто та просто їхнє повсякденне життя.

Але незабаром або через витік, або з якихось інших причин, повідомляє Конті припинив діяльність. Проте хакери не припинили роботу, і Крипто , пов’язані з операторами Conti, залишилися активними та, ймовірно, переключилися на інші штами програм-вимагачів.

Читайте також: Банда програм-вимагачів виманила 725 BTC за ONE атаку, знайшли детективи мережі

У січні Chainalysis опубліковано у звіті говориться, що гаманці передбачуваного лідера Conti Стерна «здійснювали транзакції з адресами, пов’язаними з такими штамами, як Quantum, Karakurt, Diavol і Royal у 2022 році після смерті Conti», оскільки оператори програм-вимагачів, очевидно, зазвичай працюють із кількома варіантами шкідливих програм, одночасно співпрацюючи з групою хакерських колективів одночасно.

TRM каже, що основним наступником Conti, швидше за все, є група програм-вимагачів, відома як Каракурт. LINK між ними був і раніше запропонували експерти з кібербезпеки. За даними фірми з кібербезпеки Avertium, Karakurt зазвичай атакує організації, які вже були скомпрометовані раніше.

Як і Конті, Каракурт не був вище атакуючи організації охорони здоров'я, зокрема Практичні ресурси постачальника платежів, це було удар з атакою в серпні 2022 року. Однак, на відміну від Конті, Каракурт не шифрував файли жертв, а лише викрав їх і погрожував жертвам розповсюдити їх, якщо T буде сплачено викуп.

Згідно з TRM Labs, Karakurt був активним принаймні з жовтня 2021 року. І Conti, і Karakurt використовували ту саму адресу для надсилання платежів за програмне забезпечення-вимагач, які вони отримали в жовтні 2021 року, повідомляє TRM, а пізніше адреси відправляли гроші на «біржу високого ризику».

«Графік діяльності Karakurt поза мережею та в мережі підтверджує, що група була активною задовго до офіційного закриття Conti, яке відбулося в травні 2023 року. Схоже, Karakurt було створено Conti у 2021 році та повністю запрацювало під своїм новим брендом у 2022 році», — сказав CoinDesk Арі Редборд, голова відділу юридичних та державних питань TRM Labs. Він додав, що, швидше за все, за Конті та Каракуртом стоять одні й ті ж люди.

Що стосується методів виведення коштів для кіберзлочинців, ринки даркнету, де анонімні постачальники пропонують незаконні наркотики, підроблені документи та інші тіньові товари та послуги, стають популярним каналом відмивання грошей, йдеться у звіті TRM Labs. У тому сенсі, що ці платформи об’єднують кошти своїх користувачів на централізованих гаманцях, вони частково служать свого роду змішувачами, йдеться у звітах.

Цей варіант відмивання грошей останнім часом приваблює ще більше кіберзлочинців, зокрема тих, хто отримує прибуток від матеріалів сексуального насильства над дітьми (CSAM) або дитячої порнографії, повідомляє TRM. У звіті йдеться, що фірма зареєструвала сплеск надходжень Крипто , пов’язаної із CSAM, на пов’язані з Росією даркнет-платформи.

Війна може сприяти цій тенденції, оскільки Росія стає все більш ізольованою від Заходу в політичному та економічному сенсі, вважає TRM. «Цілком можливо, що політичне та економічне відчуження Росії від Заходу підігріло уявлення про те, що країна є дружньою юрисдикцією для злочинців, які прагнуть уникнути західних правоохоронних органів». додав він.