Výzkumný tým společnosti Check Point zveřejnil velmi zajímavé detaily o struktuře a fungování známé ruské ransomwarové skupiny Conti. Ta operuje jako klasická high-tech společnost s jasnou řídící, finanční i personální strukturou. Conti nabírá zaměstnance z legálních i nelegálních zdrojů, někteří dokonce netuší, že jsou součástí kyberzločineckých operací. Skupina také zvažuje plány na spuštění krypto burzy a darknetové sociální sítě.
Conti je RaaS (Ransomware as a Service) skupina, která nabízí pronajmutí své infrastruktury dalším útočníkům. Hlavní sídlo má v Rusku a může mít vazby na tamní zpravodajské služby. Na svědomí má ransomwarové útoky na desítky organizací včetně kritické infrastruktury a zdravotnictví. V případě ransomwarového útoku dojde k zašifrování dat i ochromení napadené společnosti a za dešifrování je požadováno často velmi vysoké výkupné (anglicky „ransom“). Útoky navíc doprovází i další vyděračské techniky, aby se zvýšil tlak na zaplacení výkupného. Útočníci například hrozí zveřejněním ukradených dat nebo poskytnutí citlivých informací médiím.
Conti má personální oddělení, procesy na nábory zaměstnanců, kancelářské prostory, platy i měsíční bonusy. Má jasně definovanou strukturu a hierarchii včetně vedoucí pracovníků a specializovaných skupin (náboráři, programátoři, testeři, šifranti, administrátoři, reverzní inženýři, ofenzivní tým, OSINT specialisté a pracovníci pro vyjednávání s napadenými organizacemi). Identifikováno bylo i několik klíčových osob zodpovědných za vedení skupiny.
„Poprvé jsou k dispozici detailní informace o fungování tak významné ransomwarové skupiny. Conti se chová jako high-tech společnost se stovkami zaměstnanců a tradiční strukturou a hierarchií. Je zarážející, že ne všichni zaměstnanci si plně uvědomují, že jsou součástí kyberzločinecké skupiny. Někteří si například myslí, že pracují pro reklamní společnost. Řada zaměstnanců, kteří se následně dozví pravdu, přesto zůstane. Ukazuje se, jak dobře skupina funguje a dokáže udržet lidi, i když ti zjistí, že jsou na straně zločinu,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Co je to ransomware? Jedná se o druh škodlivého softwaru, který nejčastější funguje jako vyděračský program. Ten napadá počítačové systémy, případně šifruje data. Pro zpětné získání přístupu a odšifrování autoři takového vyděračského softwaru nejčastěji požadují výkupné.
Ransomwarová skupina Conti má několik kanceláří. Během roku 2020 využívali kanceláře především testeři, ofenzivní týmy a vyjednavači. Minimálně 2 kanceláře jsou určené pro operátory, kteří komunikují s napadenými společnostmi.
Práce v ruské kanceláři
V srpnu 2020 byla otevřena další kancelář pro systémové administrátory a programátory, kteří vyvíjí technologie pro infikování obětí. Členové vyjednávacího týmu (včetně OSINT specialistů) jsou placeni z provizí vypočítaných ze zaplaceného výkupného. Obvykle se jedná 0,5 % až 1 % ze zaplacené částky, která se může pohybovat v milionech a někdy i desítkách milionů dolarů. Kodéři a někteří manažeři dostávají plat v bitcoinech a platba probíhá jednou nebo dvakrát měsíčně.
Zaměstnanci jsou ale pokutováni například za nedostatečné výkony. Pokuty jsou většinou používány v oddělení programátorů, ale k trestům dochází i v jiných odděleních, jako IT nebo DevOps, kde osoba odpovědná za ukládání peněz dostala pokutu 100 dolarů za zmeškanou platbu.
Legální i nelegální nábory zaměstnanců
Personální oddělení Conti obvykle k náboru nových zaměstnanců používá ruské headhuntingové služby, jako je headhunter.ru, v menší míře potom další stránky, jako je superjobs.ru. Přísně zakázáno je naopak hledat tímto způsobem vývojáře.
Pro nábor vývojářů Conti využívá životopisy z headhunter.ru a oslovuje potenciální kandidáty napřímo e-mailem. Headhunter.ru takovou službu samozřejmě nenabízí a Conti si seznamy krade, což je zřejmě ve světě kyberkriminality běžná praxe.
Někteří zaměstnanci neví, že pracují pro kyberzločince
Při jednom online pohovoru řekl manažer potenciálnímu zájemci o práci programátora, že vše je anonymní a hlavním cílem je vytváření softwaru pro pentestery. V jiném případě si programátor myslel, že pracuje na systému pro analýzu reklam, ale ve skutečnosti pracoval na malwaru Trickbot, který patří mezi nejrozšířenější a nejnebezpečnější kybernetické hrozby.
Conti aktivně přemýšlí nad budoucností a jedním z nápadů je vytvoření krypto burzy. Dalším projektem je „darknetová sociální síť“. Jednalo by se o komerční projekt a už v červenci 2021 vytvořili designeři několik návrhů.
