两个勒索软件团伙赞同俄罗斯对乌克兰的入侵,其中一个还扬言对任何对莫斯科采取行动的国家进行报复。据Emsisoft公司驻加拿大的威胁分析员Brett Callow说,Conti团伙在其数据泄露网站上发表了报复声明,该网站用于展示黑客和数据盗窃的证据。
"Conti团队正式宣布全面支持俄罗斯政府,"声明说。"如果有人将决定组织针对俄罗斯的网络攻击或任何战争活动,我们将使用所有可能的资源对敌人的关键基础设施进行反击。"
此外,CoomingProject团伙也发表了类似的声明:"我们希望传递一个讯息,如果对俄罗斯的网络攻击和行为,我们将帮助俄罗斯政府。"
Conti一直以大胆的言辞著称。当美国政府当局追捕REvil勒索软件团伙时,Conti抗议"美国在世界事务中的单边、治外法权和强盗抢劫行为"。并抱怨"美国和欧盟盗贼国家之间存在新法西斯联盟。"
恶意软件集团声明报复并不令人惊讶,研究人员表示,Conti很可能是一些安全分析家称为Wizard Spider的俄罗斯集团的一个分支,据信该团伙也是Ryuk勒索软件和Trickbot恶意软件的幕后黑手。
这些声明是在安全研究人员警告可能得到莫斯科的认可的基于俄罗斯的威胁行为者可能会对那些因攻击乌克兰而实施经济制裁的国家进行反击时发表的。
根据美国网络安全和基础设施安全局(CISA)发布的一份背景文件,截至去年秋天,在对美国和国际组织的400多次攻击中出现了Conti勒索软件。
报告说,虽然Conti被认为是赎金软件即服务(RaaS)模式的变种,但其结构存在差异,与典型的勒索软件联盟模式不同,Conti开发者通常向勒索软件的部署者支付酬劳,而不是联盟网络行为者所使用的收益分成,即从成功的攻击中获得收益的一部分。
Conti操作者采取了一种手动的方式,而不是使用自动攻击,这种计算机病毒毒株具有命令行功能,使监控黑客网络的操作员能够直接控制、传播和执行勒索软件。报告说,这种功能使攻击者具有独特的能力,可以选择性地选择加密本地文件、网络共享和/或特定IP地址。
它补充说,在加密之前,Conti通过删除Windows卷影副本和禁用与备份、安全、数据库和电子邮件解决方案有关的146个Windows服务来准备被破坏的系统。Conti在2019年12月首次被发现。在接下来的几个月里,有一些孤立的Conti勒索事件发生,在2020年6月中旬,活动明显增加。
EMSIsoft说,2020年8月,Conti集团推出了一个泄漏网站,大张旗鼓地公布了未付款受害者的被盗数据,被公开点名和敏感数据暴露的威胁给受害者带来了额外的压力,迫使他们支付赎金。
总部设在瑞士的ProDaft公司的威胁研究人员也发布了一份关于Conti的报告,称该团伙"已经显示出它是一个特别无情的团体,不分青红皂白地针对医院、紧急服务提供者和警察调度员发起勒索。""Conti甚至还在受害者付款后也不交付解密密钥,这更令他们臭名昭著。"
Sotero公司首席执行官Purandar Das评论说,无论某个特定团伙或行为人的威胁如何,现在都是企业需要非常积极主动地维护其安全的时候。他说,犯罪分子是机会主义者,他们将寻找机会利用任何混乱的局面来进行攻击。
至于勒索软件团伙的声明,他称之为"有点装腔作势。"他补充说,威胁美国和/或执法机构通常不是一个好主意。"他们往往有很长的手臂和更长的记忆。"Allegro Solutions的首席执行官Karen Walsh警告说。
(举报)