研究人员推测,Conti勒索软件背后运作组织因公开支持俄国的立场遭欧美国家严加封锁,迫使背后首脑另起炉灶。
AdvIntel研究人员指出,2月底俄罗斯入侵乌克兰,Conti公开支持俄国以来,欧美国家的封锁已让Conti无法收到任何赎金,上图为美国国务院在5月6日透过跨国组织犯罪奖励方案,重金征求外界提供Conti变种勒索软件组织成员数据。
在肆虐2年后,恶名昭彰的勒索软件Conti上周悄悄关闭了官 和收赎金的服务器,宣告关门大吉,只是研究人员发现,操作Conti的黑客又以新身份继续活动。
资安厂商Advintel上周指出,Conti勒索软件背后运作组织在5月19日关闭了官 的管理控制台,而且歹徒用以上传新数据、恫吓受害者付款的主要功能已经失效,此外和受害者交涉、及代管偷来数据的基础构架也都关掉了。Conti基础构架的其他部份,像是聊天室、通信软件、服务器及代理主机多半已经过重设。
事实上,AdvIntel研究人员发现,Conti组织早从今年4月底就开始显露撤收的迹象,他们已不太支持勒索行动和收赎金,只留了个 站公布窃来的数据,直到5月19日把 站公布数据的功能也关闭,才正式宣告了Conti官 结束运作。
目前Conti 站宣传的功能还是在,实则大大不同。例如虽然在5月20日,「Conti News」 站还上传了反美的仇恨言论,宣称美国是「地球之癌」,但是和之前使用的文雅英文不同,现在的文字质量低落,显示组织首脑已经不再在乎这 站。
Conti首先于2020年6月开始活动,受害者遍及美国政府机构、医疗、警消单位,也曾骇入爱尔兰健康服务管理署及卫生部、以及宏棋的 络系统。日经 导,21个月以来Conti发动的攻击赚到的赎金高达7,700万美元。4月Conti还骇入了中美洲小国哥斯达黎加,2周下来加密该国海关及财政部等27个系统,并威胁再收不到赎金要鼓动示威推翻该国政府。
不过研究人员强调,这次关闭的是Conti勒索软件的「品牌」,并非Conti背后的组织。也就是说,恶意组织并非退出江湖,而是要以新的品牌继续活动。他们发现,2月到4月之间,Conti已为关闭做准备,悄悄设立了「分部」,并以KaraKurt、BlackByte、BlackBasta等新名称活动以接收Conti的既有「会员」(affiliates)。这些新勒索软件可能继承Conti的加密恶意程序,也可能使用新建的恶意程序。
至于何以要关闭Conti 站,研究人员指出,2月底俄罗斯入侵乌克兰,Conti公开支持俄国以来,欧美国家的封锁已让Conti无法收到任何赎金,触发背后首脑之一reshaev另立品牌的决定。
至于哥斯达黎加的勒索行动,研究人员相信是Conti告别江湖前干的最后一票。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!