Всего, как отмечено в отчете, с начала 2022 года Conti опубликовали данные 156 компаний. Суммарно же список их жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство - в апреле атака Conti против Коста-Рики привела к введению чрезвычайного положения в стране - это первый прецедент такого масштаба.
Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.
C июля 2020 года Conti начала активно использовать технику "double extortion" - двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном сайте данные компаний-жертв, отказавшихся платить выкуп.
Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний - в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобрела славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном сайте. За четыре первых месяца 2022 года группа не сбавляет оборотов: с начала года в списке жертв вымогателей оказались еще 156 компании, итого 859 - за два года (включая апрель 2022 года).
В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры "разливают" шифровальщики на всех устройствах и запускают их.
Согласно данным команды экспертов Group-IB, самая стремительная атака была проведена группой всего за 3 дня - ровно столько времени прошло от проникновения Conti в систему до ее шифрования.
География атак Conti, в целом, довольно обширна и не включает Россию. Группа придерживается негласного правила "не работать по ру". Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Англия (6,6%), далее Германия (5,8%), Франция (3,9%) и Италия (3,1%). Conti не атакуют Россию в том числе и потому, что открыто заявляют о своем "патриотизме".
"Повышенная активность Conti и "слив данных" позволили окончательно убедиться в том, что шифровальщики - уже не игра среднестатистических разработчиков вредоносного ПО, а индустрия, давшая работу сотням киберпреступников самого разного профиля во всем мире", - замечает Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Group-IB - "В этой индустрии Conti - заметный игрок, создавший фактически IT-компанию, цель которой - вымогательство крупных сумм у атакованных жертв. Что будет в дальнейшем с группой - продолжение работы, большой ребрендинг или ее "дробление" на маленькие подпроекты - на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих "дочерних" проектов".