北京时间4月14日消息,2021年,俄罗斯组织Conti被美国联邦调查局(FBI)列为了最猖獗的勒索软件组织之一。不过现在,一系列内部文件的泄露可能让它明白了作为网络间谍活动受害者的感受。 这些泄露的文件揭示了Conti的组织规模、领导层和业务运作的细节,以及被认为是该组织最珍贵的资产:勒索软件源代码。文件之所被泄露,可能是因为Conti支持俄罗斯的立场遭到报复。 威胁情报公司Cyberint安全研究员萨缪尔·基恩(Shmuel Gihon)表示,Conti在2020年出现,并成长为世界上最大的勒索软件组织之一。据他估计,该组织大约有350名成员,他们在短短两年内共赚取了约27亿美元(约合172亿元)的加密货币。 FBI在其《2021年互联网犯罪报告》中警告称,Conti的勒索软件是去年锁定美国关键基础设施的“三大变体”之一。FBI表示,Conti“最经常攻击的对象是关键制造业、商业设施、食品和农业部门”。 “目前为止,它们是最成功的组织。”基恩称。 就像普通科技公司 Conti完全隐匿,不像黑客组织“匿名者”(Anonymous)那样有时对新闻媒体发表评论。但Cyberint、Check Point和其他分析了泄露信息的网络安全机构表示,这些信息显示Conti的运营和组织方式就像是一家普通科技公司。 软件技术公司Check Point威胁情报部门负责人洛特姆·芬克尔斯坦(Lotem Finkelstein)指出,在翻译了许多用俄语撰写的信息后,其情报部门Check Point Research认定Conti具备了明确的管理、财务和人力资源职能,以及典型的团队负责人向高级管理层汇报的组织层级结构。根据Cyberint的调查结果,有证据显示Conti还有研发、业务开发部门。 Conti的组织结构 芬克尔斯坦称,泄露的信息显示Conti在俄罗斯设有办公室,可能与俄罗斯政府有联系。“我们…我们的假定是,如果没有得到俄罗斯情报机构的全面批准,甚至是一些合作,这样一个拥有实体办公室和巨额收入的庞大组织是无法在俄罗斯开展活动的。”他表示。俄罗斯此前否认参与网络攻击。 评选月度最佳员工 Check Point Research还发现,Conti拥有这么几类员工: ·受薪员工:其中一些人是用比特币支付薪水,外加绩效考核和培训机会; ·谈判代表:从支付的赎金中收取0.5%到1%的佣金; ·员工推荐计划:如果员工可以招募到其他人并且让其工作至少一个月,他们就能获得奖金; ·月度最佳员工:可以获得相当于一半工资的奖金。 Check Point Research的研究显示,与那些正大光明的公司不同的是,Conti会对表现不佳的员工进行罚款。 员工表现不佳会被罚款 员工的真实身份也会被用户名所隐藏,比如“大老板”斯特恩(Stern)、“技术经理”布扎(Buza)和“斯特恩的合作伙伴和实际的办公室运营主管”塔吉特(Target)。 “当与员工沟通时,Conti高层往往会说,为Conti工作终生受益,可以获得高工资、有趣的任务、职业成长。”Check Point Research表示。 然而,一些泄露的信息却描绘了一幅不同的画面。例如,如果员工在三小时内以及在周末和节假日工作时间没有及时回复邮件,他们就会受到被解雇的威胁。 招聘流程 芬克尔斯坦说,Conti既通过俄罗斯猎头服务机构等合法渠道,也通过地下犯罪组织进行招聘。 《华盛顿邮报》前记者布莱恩·克雷布斯(Brian Krebs)在他的网络安全网站KrebsOnSecurity上写道,招聘很重要,因为“Conti低级别员工的流动率、人员流失率和工作倦怠率都相当高,这或许并不令人意外”。 Check Point Research称,Conti招聘的一些员工甚至不是计算机专家,它曾雇人在呼叫中心工作。FBI已表示,“技术支持欺诈”呈上升趋势,诈骗者冒充知名公司,提出解决电脑问题或取消订阅费。 有些员工蒙在鼓里 “令人震惊的是,我们有证据表明,并非所有员工都充分意识到自己是网络犯罪集团的一员,”芬克尔斯坦表示,“这些员工以为自己在为一家广告公司工作,而实际上他们是在为一个臭名昭著的勒索软件组织工作。” 泄露的信息显示,Conti经理就公司的情况对求职者撒了谎。其中一个经理对求职者说:“这里一切都是匿名的,公司的主要方向是为渗透测试者提供软件”。渗透测试者是合法的网络安全专家,他们模拟针对自己公司计算机网络的网络攻击。 “大老板”斯特恩在一系列信息中解释称,该组织让程序员从事一个模块或部分软件,而不是整个项目,从而让他们蒙在鼓里。斯特恩称,如果员工最终发现了真相,他们就会提出加薪以留住员工。 已经倒闭了? 根据Check Point Research的研究,甚至在信息泄露前,Conti就表现出了运营困难的迹象。这些信息显示,斯特恩在1月中旬左右陷入沉默,工资也停止发放。 就在Conti信息被泄露的几天前,一条内部消息称:“到处都是泄密,有人被逮捕……没有老板,没有澄清……也没有钱……我不得不要求你们所有人休假2-3个月。” Check Point Research称,尽管Conti已举步维艰,但它很可能会东山再起。与前竞争对手REvil不同的是,Conti仍在“部分”运营。 Conti经受住了其他挫折,包括其使用的恶意软件“恶作剧机器人”(Trickbot)被暂时禁用,以及在2021年几名疑似“恶作剧机器人”开发者被逮捕。 尽管打击勒索软件组织的努力正在持续进行,但FBI预计,关键基础设施面临的攻击将在2022年增加。
