兩個勒索軟件團伙贊同俄羅斯對烏克蘭的入侵,其中一個還揚言對任何對莫斯科採取行動的國家進行報復。據Emsisoft公司駐加拿大的威脅分析員Brett Callow說,Conti團伙在其數據泄露網站上發表了報復聲明,該網站用於展示黑客和數據盜竊的證據。
“Conti團隊正式宣布全面支持俄羅斯政府,”聲明說。”如果有人將決定組織針對俄羅斯的網絡攻擊或任何戰爭活動,我們將使用所有可能的資源對敵人的關鍵基礎設施進行反擊。”
此外,CoomingProject團伙也發表了類似的聲明:”我們希望傳遞一個訊息,如果對俄羅斯的網絡攻擊和行為,我們將幫助俄羅斯政府。”
Conti一直以大膽的言辭著稱。當美國政府當局追捕REvil勒索軟件團伙時,Conti抗議”美國在世界事務中的單邊、治外法權和強盜搶劫行為”。並抱怨”美國和歐盟盜賊國家之間存在新法西斯聯盟。”
惡意軟件集團聲明報復並不令人驚訝,研究人員表示,Conti很可能是一些安全分析家稱為Wizard Spider的俄羅斯集團的一個分支,據信該團伙也是Ryuk勒索軟件和Trickbot惡意軟件的幕後黑手。
這些聲明是在安全研究人員警告可能得到莫斯科的認可的基於俄羅斯的威脅行為者可能會對那些因攻擊烏克蘭而實施經濟制裁的國家進行反擊時發表的。
根據美國網絡安全和基礎設施安全局(CISA)發布的一份背景文件,截至去年秋天,在對美國和國際組織的400多次攻擊中出現了Conti勒索軟件。
報告說,雖然Conti被認為是贖金軟件即服務(RaaS)模式的變種,但其結構存在差異,與典型的勒索軟件聯盟模式不同,Conti開發者通常向勒索軟件的部署者支付酬勞,而不是聯盟網絡行為者所使用的收益分成,即從成功的攻擊中獲得收益的一部分。
Conti操作者採取了一種手動的方式,而不是使用自動攻擊,這種計算機病毒毒株具有命令行功能,使監控黑客網絡的操作員能夠直接控制、傳播和執行勒索軟件。報告說,這種功能使攻擊者具有獨特的能力,可以選擇性地選擇加密本地文件、網絡共享和/或特定IP地址。
它補充說,在加密之前,Conti通過刪除Windows卷影副本和禁用與備份、安全、數據庫和電子郵件解決方案有關的146個Windows服務來準備被破壞的系統。Conti在2019年12月首次被發現。在接下來的幾個月里,有一些孤立的Conti勒索事件發生,在2020年6月中旬,活動明顯增加。
EMSIsoft說,2020年8月,Conti集團推出了一個泄漏網站,大張旗鼓地公布了未付款受害者的被盜數據,被公開點名和敏感數據暴露的威脅給受害者帶來了額外的壓力,迫使他們支付贖金。
總部設在瑞士的ProDaft公司的威脅研究人員也發布了一份關於Conti的報告,稱該團伙”已經顯示出它是一個特別無情的團體,不分青紅皂白地針對醫院、緊急服務提供者和警察調度員發起勒索。””Conti甚至還在受害者付款后也不交付解密密鑰,這更令他們臭名昭著。”
Sotero公司首席執行官Purandar Das評論說,無論某個特定團伙或行為人的威脅如何,現在都是企業需要非常積極主動地維護其安全的時候。他說,犯罪分子是機會主義者,他們將尋找機會利用任何混亂的局面來進行攻擊。
至於勒索軟件團伙的聲明,他稱之為”有點裝腔作勢。”他補充說,威脅美國和/或執法機構通常不是一個好主意。”他們往往有很長的手臂和更長的記憶。”Allegro Solutions的首席執行官Karen Walsh警告說。