Группа Conti, создавшая одноименное вредоносное программное обеспечение для вымогателей (ransomware, программы-шифровальщики), с 2019 по 2022 год являлась одним из самых разрушительных киберпреступных объединений в мире. Ее деятельность наглядно продемонстрировала, как современные ransomware-операции перенимают структуру и эффективность легального бизнеса, одновременно нанося ущерб критически важным секторам экономики.
Описание
Conti классифицируется как Ransomware-as-a-Service (RaaS, «вымогательство как услуга»), однако ее бизнес-модель имела отличия. Вместо процента от выкупа партнеры-аффилиаты, обеспечивавшие первоначальное проникновение в сети жертв, получали фиксированную оплату. Дальнейшую атаку, включая перемещение по сети и шифрование, проводили уже основные операторы группы. Для первоначального доступа использовались целевые фишинговые кампании (spearphishing), эксплуатация уязвимостей в службе удаленного рабочего стола (RDP) и покупка уже скомпрометированного доступа у специализированных брокеров.
После получения доступа группа действовала агрессивно и методично. Для перемещения по сети и установления устойчивого присутствия применялись инструменты вроде Cobalt Strike, проводилась разведка в Active Directory с помощью утилиты AdFind. Conti активно занималась получением учетных данных, запуская атаки на билеты Kerberos и перебирая пароли. Важной тактикой был мониторинг переписки жертв, что давало группе преимущество на переговорах о выкупе.
Шифрование данных проводилось с помощью многопоточного подхода, что позволяло быстро обрабатывать большие объемы информации. Перед этим конфиденциальные файлы выгружались на серверы злоумышленников. Группа практиковала тактику двойного шантажа (double extortion): если выкуп не выплачивался, похищенные данные публиковались на специальном сайте-утечке. При этом попытки жертв делиться деталями переговоров с третьими сторонами могли привести к немедленному разглашению всей информации.
Переломным моментом в истории Conti стала утечка внутренней переписки в 2022 году. Обнародованные чаты и документы раскрыли внутреннее устройство объединения. Conti функционировала как корпорация: велось кадровое делопроизводство, проводилось обучение сотрудников, шла активная разработка для улучшения вредоносного ПО. Группа даже получала демо-версии продуктов класса EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках), чтобы тестировать и совершенствовать методы обхода защиты.
Утечки также подтвердили роль фишинга как основного вектора атак. Операторы под псевдонимами делились шаблонами писем для компрометации целей. Был обнародован снимок панели управления Conti, где отображались сведения о зараженных системах: версии ОС, установленные антивирусы, уровень привилегий пользователей. Эта информация позволяла злоумышленникам выбирать наиболее ценные цели и адаптировать вредоносные нагрузки.
Яркой иллюстрацией доходов и образа жизни участников Conti стало видео, на котором, по данным GangExposed, запечатлены 11 членов группы, отдыхающие на яхте в Дубае. Эти кадры демонстрируют разительный контраст между последствиями атак на больницы и государственные учреждения и роскошной жизнью киберпреступников.
Хотя внутренние расколы и утечки подорвали деятельность Conti, ее методы и инфраструктура продолжают использоваться в новых проектах. История группы служит серьезным напоминанием для специалистов по защите информации: противодействие современным программам-вымогателям требует не только технических мер, но и комплексной подготовки, обмена разведданными и повышения устойчивости организаций в целом.
Индикаторы компрометации
Onion Domains
- contirec7nchr45rx6ympez5rjldibnqzh7lsa56lvjvaeywhvoj3wad.onion
URLs
- http://contirec7nchr45rx6ympez5rjldibnqzh7lsa56lvjvaeywhvoj3wad.onion/
