透视俄乌网络战之一:数据擦除软件
Conti勒索软件集团(上)
- 1. Conti简介
- 2. 组织架构
- 3. 核心成员
- 4. 招募途径
- 5. 工作薪酬
- 6. 未来计划
- 参考
1. Conti简介
Conti于2019年首次被发现,现已成为网络世界中最危险的勒索软件之一,并以其在目标系统中加密和部署的速度快而闻名。Conti被认为是流行的Ryuk勒索软件家族的变种。据美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)统计,Conti针对全球发起了400多次网络攻击,其中四分之三的目标位于美国,勒索金额高达2500万美元。
原本Conti和REvil都是俄罗斯勒索软件团伙的主力军,但2022年1月11日,美国对俄罗斯施加压力后,俄罗斯采取行动逮捕了REvil勒索团伙的成员,使得Conti成为俄罗斯软件团伙中的“牛耳”。
2月27日,Conti勒索软件团伙的内部聊天记录因俄乌克冲突而遭到泄露。具体过程如下:
2022年2月25日,Conti承诺在俄罗斯入侵乌克兰后支持俄罗斯政府。
2022年2月27日,由于Conti组织内部冲突,Conti发布了第二条消息。
2022年2月27日,Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录,其中包含Conti用于内部交流的数十万条Jabber和Rocket.Chat消息。
2. 组织架构
Conti堪称史上最能卷的网络勒索组织之一,并且其内部组织性非常强,管理制度严格,这也是他能卷到飞起的原因之一。
- 人事(HR) :负责招聘新员工,包括梳理求职网站、组织线上面试以及在面试官和相关技术联络人之间进行沟通。
- 程序员(Coders):负责 编写并维护恶意软件代码、服务器后端。
- 测试人员(Testers ):负责检查并测试各种恶意软件,以确保恶意软件避免被发现。
- 加密人员(Crypters):主要负责对有效载荷、二进制文件和脚本进行语法更改,以使其更难检测和分析
- 系统管理员(SysAdmins):主要负责安装系统、维护服务器、建立代理、注册域、管理帐户
- 逆向工程师(Reverse Engineers):负责了解所有使用工具的工作原理,协助研发人员
- 攻击团队(Offensive Team):负责获得对受害机器的初始访问权限,进行权限升级和横向移动,最终目标是获得域管理员权限,开展攻击活动。
- OSINT及谈判专家(OSINT Specialists and Negotiation Staff ):OSINT 专家复杂寻找目标,谈判专家负责在受害者的数据被窃取时,与受害者进行谈判谈判赎金支付需求。
3. 核心成员
Conti团伙核心成员组织架构图如下:
Stern :大boss,负责集团运营和与附属公司合作,并直接和间接地管理许多人员和项目。
Bentley:技术负责人,负责测试和防御规避,管理加密人员与测试人员。
Mango:主要协调解决负责攻击人员和开发人员之间的问题。
Buza:技术管理者,负责开发和产品,在开发团队中策划加载器和bot的开发。
Target:负责管理黑客团队,还负责管理所有线下办公场所。
Veron:与Emotet合作的枢纽,Veron正在与相关的Conti成员管理Emotet活动的所有资源,包括基础设施。
4. 招募途径
(1)headhunter.ru 和 superjobs.ru
Conti可通过第三方工具直接访问 headhunter.ru简历数据库
通过筛选的候选人简历会被匿名发送到公司内部相关的技术联络点并确保候选人的上司不知道他们的身份。但有时通过在网上搜索求职者的工作经历,可以推断出他们的身份。
(2)员工内部推介
根据stern的聊天截图,Conti成员内部推荐可以获得内推奖金。
(3)暗网论坛
Conti的竞争对手REvil团伙曾经做了一个宣传噱头,将 价值100万美元的比特币存入了一个账户,然后在讨论该噱头活跃度高的论坛帖子中发布招聘广告。招聘广告收到了许多带有联系方式的回复,且所有回复都是公开的,因此Conti的HR可以从中筛选出一批高质量的候选人,并向他们发送工作邀请。
5. 工作薪酬
Conti的谈判团队成员(包括OSINT专家)的报酬是佣金,一般为支付赎金的0.5%到1%。编码人员和管理人员的工资是用比特币支付的,每月转账一到两次。
Conti的员工会因表现不佳而被罚款。
然而罚款并不够有效,Conti甚至会采用解雇威胁来激励员工。
攻击团队的压力就更大了,他们已经习惯了随时待命,周六和周日休息,就是他们最大的快乐。
攻击团队的成员被要求随时投入到他们的“战斗角色”中。
公司的“当月最佳员工”奖,奖金相当于该员工工资的50%,来自对当月待遇较差的员工征收的惩罚性罚款。
Conti的管理层会非常认真的挑选获当月最佳员工
Conti员工有的并不知道自己从事的是犯罪活动的一部分。求职面试中,会告诉招聘者,公司的主要方向是为渗透测试者提供软件。
一个绰号为“Zulas”的小组成员,很可能是用Erlang编程语言开发Trickbot后端的人。Zulas对Erlang充满热情,渴望展示他其他作品的例子,甚至提到了他的真名。当他的经理提到他的Trickbot项目可被“半个世界”看到时,Zulas并不理解这种说法,也不知道他的软件在做什么。他的经理只能告诉他,他正在为一个广告分析系统的后端工作。
Conti认同“Work Hard and Play Hard”,部分长期员工之间都形成了良好的关系,他们会举行面对面的会议,甚至会与家人聚在一起喝酒。
6. 未来计划
(1)推出加密系统
Conti 团伙的管理团队不断寻求拓展新的业务,其中一个想法该集团自己的生态系统中创建一个加密货币交易所。
(2)暗网社交网络
“暗网社交网络”(又名:“VK for darknet”或“Carbon Black for hackers”),这是一个受Stern启发并由Mango实施的项目,计划作为商业项目开发。
参考
[1] LEAKS OF CONTI RANSOMWARE GROUP PAINT PICTURE OF A SURPRISINGLY NORMAL TECH START-UP… SORT OF
[2] Conti Armada: The ARMattack Campaign
