前情回顾

在隐秘的网络世界里,Conti号称迄今为止“最成功的勒索软件攻击团伙”,经常能斩获数百万美元的赎金。据称,只有那些年收入超1亿美元的大型公司才有资格成为它的攻击目标。

与此同时,虚拟货币流向追踪公司Chainalysi在最近发布的《加密货币犯罪报告》中透露,Conti去年的收入至少为1.8亿美元。

做好内部安全防护:成功犯罪团伙的“第一步

动辄百万级的赎金收入让这个拥有65至100名“员工”的团伙变得异常谨慎。其管理层非常清醒地认识到,手下“员工”从受害者处窃取来的数据超级敏感、价值连城,所以做好本身的安全防护是重中之重

美国安全博主Brian Kreb通过分析Conti勒索软件泄露数据发现,Conti团伙每个月都会拨出数千美元的专款,用于对各类安全软件和杀毒软件的“扫荡”。摸清这些软件的路数,一来可以帮助团伙更好地对目标实施入侵,二来可以保证本集团的网络安全。

2021年8月8日的团伙内部聊天记录显示,一个名叫“Reshaev”的团伙经理命令名叫“Pin”的下属暗中检查团伙网络管理人员的网上活动,每周一次,并在每个管理员的计算机上都安装“终端检测与响应”(EDR)工具,以确保对方不会做危害团伙行动安全的事情。

“除了每周的例行秘密检查以及安装EDR工具,我们还采取了其他网络安全措施,” “Reshaev”说。“比如设置更复杂的存储系统保护所有计算机上的LSAS堆栈保证安全软件随时更新到最新版本以及给所有网络系统安装防火墙,等等。”

首先做好团伙内部的安全防护工作显然暗合兵法所云之“先为不可胜”之理,但桀骜不驯的“员工”们显然对此很不满意,认为自己没有受到应有的信任。但一群集合起来的骗子面对大笔金钱就像猫儿看着鱼,又有什么信任可言呢?Conti团伙的一名中层管理者很不屑手下的情绪:

“那么一大笔钱放在一群没见过什么钱的人面前,让我怎么能完全信任他们呢?我干这行15年了,见钱眼开的事儿经历过很多了。”

开源情报是重要敛财工具

别看Conti是个网络大盗团伙,但在版权方面还是很讲究的。他们使用的敛财工具,几乎全都是重金订购的正版软件或其提供的服务。其中最常用的,是OSINT,即“开源情报工具”。

“Conti勒索软件攻击团伙日记”声称,Conti团伙为了能够确定某个特定IP地址使用者的身份,或厘清某个IP地址是否与已知虚拟专用网络(VPN)有关联,不惜重金购买OSINT服务。比如2021年10月Conti团伙内有人提出紧急申请,要求订购Crunchbase ProZoominfo的服务,理由是这两项服务可提供数百万家公司的详细信息,包括但不限于维持公司安全运营的保险金数额、最高营收预估、管理人员和董事会成员联系方法,等等。

该团伙每天要进进出出成千上万台电脑,OSINT服务可以帮助他们“去芜存菁”,集中精力盯住大型公司网络中受感染的系统。另外,OSINT服务提供的商业数据还可以帮助Conti团伙在与勒索对象的谈判中占据上风。他们通常会根据这些数据很有针对性地按对方收入的百分比确定勒索金额。如有不从或拒绝进行谈判者,Conti会根据OSINT提供的联系方式,对其董事会成员或投资者进行无休止的骚扰。

不过也有软件或服务是正规渠道买不到的。比如Cobalt Strike的使用许可证。Cobalt Strike是一款商用网络入侵测试与侦察工具,只面向经过审查的合作伙伴出售。网络犯罪团伙为了能够顺利把勒索软件安装在目标系统内,大多通过偷窃或其他非法手段获得其使用权。据悉,Conti团伙在偷窃无门的情况下,不得不捏着鼻子以6万美元的大价钱向“代理人”购买Cobalt Strike的使用许可。其中3万美元是Cobalt Strike使用许可证的实际费用,另外3万美元则是秘密支付给某个Cobalt Strike合法用户的“代理费”。

为网络攻击做准备“在所不惜”

Conti团伙在网络攻击准备方面可谓“在所不惜”。据称,该团伙每个月都为其人力资源部门拨付数千美元的“预算资金”,用于订购求职网站的付费服务。在这些服务帮助下,团伙的人力资源专员可以很轻松地在海量求职信息中筛选出潜在的雇佣人选,从而达到“人才储备”的目的。

另外,Conti还在团伙内设立了一个“逆向分析”(Reversers)部门,并为其拨付专门资金,负责寻找并利用硬件、软件以及云服务中存在的漏洞,算是勒索团伙中为攻击创造条件的“预研小组”。

比如2021年7月21日的团伙内部聊天显示,该部门把微软公司最新发布的Windows 11操作系统作为主要目标,寻找其中存在的漏洞。“Windows 11即将推出,试用版已经可以下载。我们要着手对其进行研究以便做好攻击准备,”聊天称。

怎么拿到赎金?“第三方”不可缺少

对目标实施勒索软件攻击后,怎么让对方把钱拿出来很关键。通常这个时候Conti团伙不会亲自出面跟受害者谈判,而是通过所谓的“第三方”完成这项工作。

“第三方”可以是个人,也可以是“要账公司”。网络情报公司Hold Security曝光了一段Conti团伙在Twitter上的内部聊天记录。其中一人声称已发展了一名记者充当“第三方”,以撰写文章为手段逼迫勒索目标支付赎金。这个“第三方”显然不是义务劳动。“这个记者会帮我们威吓对方,但要收取赎金总额的5%,”标记为2021年3月30日的聊天记录显示。

还有一些地下公司以代替勒索软件团伙与受害目标谈判并索要赎金为主要业务。这些“要账公司”的工作,就是“帮助”受害公司使用虚拟货币支付大额赎金。Conti团伙与多个这样的公司建立有联系,其中一家位于加拿大的公司与他们关系不错。对方在Conti团伙对LeMans Corp实施勒索软件攻击后充当了“第三方”,在谈判中要求对方支付100万美元的赎金。

有时候这些“第三方”还会发发善心。比如他们在2021年10月7日的聊天中为受害者“叫屈”,称“我的客户最多只能拿出20万美元,你方请再斟酌,否则此次交易将无法进行” 。

此外,很多公司现在都喜欢上保险。Conti团伙和这样的公司打交道时心情是矛盾的:一方面,保险公司可能不会给这些公司支付天文数字的赎金;另一方面,背靠保险公司的受害者会在谈判过程中很爽快。

新战术提高收钱的效率

勒索软件攻击初期,攻击者的勒索方式主要是对企业的数据进行加密,然后要求对方支付赎金换取解密密钥。但自2020年以来,勒索软件攻击团伙开始执行一种被称为“双重勒索”(double extortion)的新战术。

Conti是最早使用“双重勒索”的网络攻击团伙。他们会要求受害公司支付双份费用。一份用来赎取解开被加密系统的数字密钥;另一份是所谓的“封口费”,即保证公司被窃取的数据会被销毁,不会被公开或出售。Conti通常会给受害者一个暗网链接,打开后可以看到一个计时器画面,受害者如果在计时器归零前没能满足赎金要求,其失窃或被加密的内部数据就将自动向外界发布。

“我们正在等待你们在2月5日前支付上述金额。我们会信守承诺。不过如果到期没能看到钱,我们将会上传这些数据。”这是Conti团伙发给受害公司的典型勒索信息。

对Conti团伙来说,“双重勒索”的好处显而易见——即使受害者对本公司解开并恢复被团伙加密的系统信心十足,但也不得不考虑支付一笔“封口费”,确保本公司数据不外泄、形象不受损。

参考来源:https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iii-weaponry/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。