Эксперты: Хакеры из группировки Conti похитили данные более 850 международных компаний

Компания Group-IB исследовала серию атак, проведенных русскоязычной хакерской группой вымогателей Conti. Примерно за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру. При этом атакующие не работают против российских компаний.
istock

Всего, как отмечено в отчете, с начала 2022 года Conti опубликовали данные 156 компаний. Суммарно же список их жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство - в апреле атака Conti против Коста-Рики привела к введению чрезвычайного положения в стране - это первый прецедент такого масштаба.

Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.

C июля 2020 года Conti начала активно использовать технику "double extortion" - двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном сайте данные компаний-жертв, отказавшихся платить выкуп.

Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний - в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобрела славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в списке жертв вымогателей оказались еще 156 компании, итого 859 - за два года (включая апрель 2022 года).

В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры "разливают" шифровальщики на всех устройствах и запускают их.

Согласно данным команды экспертов Group-IB, самая стремительная атака была проведена группой всего за 3 дня - ровно столько времени прошло от проникновения Conti в систему до ее шифрования.

География атак Conti, в целом, довольно обширна и не включает Россию. Группа придерживается негласного правила "не работать по ру". Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию в том числе и потому, что открыто заявляют о своем "патриотизме".

"Повышенная активность Conti и "слив данных" позволили окончательно убедиться в том, что шифровальщики - уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире", - замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Group-IB - "В этой индустрии Conti - заметный игрок, создавший фактически IT-компанию, цель которой - вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой - продолжение работы, большой ребрендинг или ее "дробление" на маленькие подпроекты - на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих "дочерних" проектов".