图片来源:Chainalysis
同时,Conti自己也跻身于收入过亿这一群体。据虚拟货币追踪公司Chainalysis发布的最新《加密货币犯罪报告》称 ,Conti 去年的收入至少为1.8 亿美元。
Conti的成功不是偶然,作为一个犯罪集团,它也像一个发展中的企业一样,在管理与运营等各方面极尽所能,将杀伤力最大化。
▌攘外必先安内
勒索软件集团告诉你:安全验证很重要
除了每周检查管理员在服务器上的活动、在每台计算机上安装 EDR(例如,Sentinel、Cylance、CrowdStrike)之外,Reshaev 还要求建立更复杂的存储系统、保护所有计算机上的 LSAS 堆栈、保证只有 1 个活跃账户、安全软件更新至最新版本,并在所有网络上安装防火墙。
▌掌握信息就是掌握财富
利用开源情报,为信息付费
同样,Conti 的人力资源部门每月也要花费数千美元用于订阅众多求职网站服务,Conti的HR将在这些网站中筛选潜在员工的简历。Conti人力资源专员Salamandra 在给任务主管Stern 的一份说明中解释了Conti在一个就业平台上的付费访问权限,并表示他们已经查看了该平台上25-30%的相关简历。
Conti 内部有专门的预算分配部门叫做“ Reversers”,负责在各类硬件、软件和云服务中发现和利用新的安全漏洞。2021年7月7日,Stern命令该部门员工 Kaktus开始将微软最新的操作系统Windows 11作为重点目标。
▌企业成功离不开合作伙伴
借助“第三方”,让赎金来得更顺利
Conti 成员Alarm在 2021年3月30日的聊天记录显示,第三方记者可以收取 5% 的报酬。
Conti在与大型动力运动设备经销商LeMans Corp勒索谈判时,向对方索取100万美元的赎金。2021年10月7日的聊天显示,这位谈判代表示他的客户最多只能支付 200,000 美元,并敦促Conti重新考虑赎金的金额。
许多企业为自己投递了网络安全保险,以弥补勒索软件攻击可能带来的损失。日志表明Conti对这些受害公司的态度很矛盾:一方面,保险公司的支付限额限制了他们索要巨额赎金的能力;另一方面,投保的受害公司通常会在赔付谈判中速战速决。
▌抓住要害方能立于不败之地
“双重勒索”,让目标公司无路可退
双重勒索的绝妙之处在于,即使受害者拒绝付费获得密钥,他们也仍然可能会为了数据不外泄而付费。
在不见硝烟的网络战争中,Conti无疑是常胜将军。此次Conti内部聊天记录的泄露,也让我们得以窥见这个强大的犯罪集团的成功要素。显而易见的是,Conti将人力物力充分投入到产品打磨、内部安全、目标分析、信息获取、合作伙伴、勒索谈判等各个环节中。