Незважаючи на витік інформації (повідомлень чату та файлів ContiLeaks), члени кіберугруповання Conti, що мають зв’язки з ФСБ Росії і гостру обізнаність про операції військових хакерів з кіберпідрозділу ГУ ГШ ЗС Росії (Unit 74455), здійснили певні заходи, які дозволяють їм зберегти відносну стійкість і частково продовжити свою діяльність.
Аналітики виявили ознаки збігу тактик, технік та процедур з деякими угрупованнями програм-вимагачів, зокрема, Black Basta, яке розпочало діяльність за місяць до того, як група Conti оголосила про припинення своєї діяльності.
Однак, незважаючи на подібності блогів про витік даних, платіжні сайти, портали відновлення, комунікації жертв і методи переговорів, експерти не можуть повністю підтвердити, що дане угроповання є ребрендингом, запущеним колишніми членами групи Conti.
Інша програма-вимагач BlackByte, яка працює з серпня 2021 року і має здатність “хробака”, подібну до Ryuk (попередник Conti) та видаляє тіньове сховище томів, змінюючи його розмір (техніка, яку раніше використовували Conti та Ryuk), демонструє перекриття між її власними операціями та Conti.
Аналітики припускають, що BlackByte може бути перейменованою операцією Conti, яка створена виключно для того, щоб максимізувати попередні схеми виманювання даних і надати афілійованим особам варіант програм-вимагачів, який узгоджується з їхніми вже встановленими тактиками, техніками та процедурами.
Ще однією кіберзлочинною групою, яка позиціонує себе як групу RaaS (Ransomware-as-a-Service), але в основному відповідає за крадіжки і схеми вимагання даних та має зв’язки з колишніми членами Conti є Karakurt.
Дане кіберугруповання націлене на великі організації зі значними доходами і не шифрує файли чи машини, але викрадає дані та погрожує опублікувати їх, якщо не буде отримано викуп у криптовалюті.
Аналітиками виявлені значні збіги між вторгненнями Karakurt і повторними вимаганнями Conti, використання однакових імен хоста, методів викрадання та віддаленого доступу, а також перекази криптовалюти між пов’язаними гаманцями.
Встановлено, що філії та менеджери кіберугруповання Conti співпрацювали з командами програм-вимагачів LockBit 2.0, Maze і Ryuk, а деякі суб’єкти загроз, уклали альянси з іншими активними програмами RaaS: ALPHV (BlackCat), AvosLocker, Hive та HelloKitty (FiveHands).
Ймовірно, тепер учасники усіх цих груп розгортають саме ці варіанти програм-вимагачів замість попередніх версій Conti.
Крім того, інші кіберзлочинці можуть використати витік вихідного коду Conti для компіляції власних програм-вимагачів або додати свою власну розробку до однієї з інших активних схем програм-вимагачів, перелічених вище.
Найбільш плідні члени групи Conti продовжуватимуть працювати, успішно здійснюючи незаконну кібердіяльність, а коли негативна увага ЗМІ до них зникне, оператори групи спробують перегрупуватися.
Учасники групи Conti додадуть свої власні тактики, техніки та процедури до інших груп RaaS, щоб дистанціюватися від передбачуваної проросійської позиції, з логікою того, що кампанії-жертви будуть платити викуп групам, які не підпадають під санкції США.
