A notória gangue de ransomware Conti é encerrada, mas não para sempre

O grupo de ransomware conhecido como Conti foi oficialmente encerrado, com todas as suas infraestruturas agora offline.

Embora isso possa parecer uma boa notícia, é bom apenas na superfície – Conti não acabou, simplesmente se dividiu em operações menores.

O Conti foi lançado no verão de 2020 como sucessor do ransomware Ryuk. Ele contou com parcerias com outras infecções de malware para distribuir. Malwares como TrickBot e BazarLoader foram o ponto de entrada inicial para Conti, que então prosseguiu com o ataque. A Conti provou ser tão bem-sucedida que acabou evoluindo para um sindicato de crimes cibernéticos que assumiu o TrickBot, o BazarLoader e o Emotet.

Durante os últimos dois anos, Conti realizou uma série de ataques de alto perfil, visando as escolas públicas da cidade de Tulsa, Advantech e Broward County. Conti também manteve os sistemas de TI do Executivo de Serviços de Saúde da Irlanda e do Departamento de Saúde como resgate por semanas e só os liberou quando estavam enfrentando sérios problemas com as autoridades em todo o mundo. No entanto, este ataque deu a Conti muita atenção da mídia global.

Mais recentemente, teve como alvo a Costa Rica, mas, de acordo com Yelisey Bogslavskiy, da Advanced Intel , o ataque foi apenas um encobrimento do fato de que Conti estava desmantelando toda a operação. Boguslavskiy disse ao Bleeping Computer que o ataque à Costa Rica foi tornado público para dar aos membros do Conti tempo para migrar para diferentes operações de ransomware.

“A agenda para realizar o ataque à Costa Rica para fins de publicidade em vez de resgate foi declarada internamente pela liderança de Conti. As comunicações internas entre os membros do grupo sugeriram que o pagamento do resgate solicitado estava muito abaixo de US$ 1 milhão (apesar das alegações não verificadas do resgate serem de US$ 10 milhões, seguidas pelas próprias alegações de Conti de que a soma era de US$ 20 milhões)”, diz um documento ainda a ser publicado. relatório da Advanced Intel, compartilhado antecipadamente pela Bleeping Computer.

O fim definitivo de Conti foi causado pela aprovação aberta do grupo à Rússia e sua invasão da Ucrânia. Nos canais oficiais, a Conti chegou a dizer que reunirá todos os seus recursos para defender a Rússia de possíveis ataques cibernéticos. Depois disso, um pesquisador de segurança ucraniano vazou mais de 170.000 mensagens internas de bate-papo entre os membros do grupo Conti e, finalmente, também vazou o código-fonte do criptografador de ransomware da gangue. Este criptografador foi usado mais tarde para atacar entidades russas.

Do jeito que as coisas estão agora, toda a infraestrutura da Conti foi desconectada, e os líderes do grupo disseram que a marca acabou. No entanto, isso não significa que os membros da Conti deixarão de perseguir o cibercrime. De acordo com Boguslavskiy, a liderança da Conti decidiu se separar e se juntar a gangues de ransomware menores, como AvosLocker, HelloKitty, Hive, BlackCat e BlackByte.

Membros da gangue anterior de ransomware Conti, incluindo analistas de inteligência, pentesters, desenvolvedores e negociadores, estão espalhados por várias operações de crimes cibernéticos, mas ainda fazem parte do sindicato Conti e estão sob a mesma liderança. Isso os ajuda a evitar a aplicação da lei enquanto ainda realizam os mesmos ataques cibernéticos que fizeram sob a marca Conti.

O Conti foi considerado um dos tipos de ransomware mais caros e perigosos já criados, com mais de US$ 150 milhões em pagamentos de resgate coletados durante seu período de dois anos. O governo dos EUA oferece uma recompensa substancial de até US$ 15 milhões para ajudar a identificar os indivíduos envolvidos com Conti, especialmente aqueles em cargos de liderança.