EUA oferecem recompensa de “até US$ 10 milhões” por informações sobre gangue Conti

Você quase certamente já viu e ouviu a palavra Conti no contexto do cibercrime.

Conti é o nome de uma conhecida gangue de ransomware – mais precisamente, o que é conhecido como ransomware como serviço (RaaS), onde o código do ransomware, as demandas de chantagem e o recebimento de pagamentos de extorsão de vítimas desesperadas são tratados por um grupo central…

…enquanto o ataca a si mesmo são orquestrados por uma “equipe” de afiliados que normalmente são recrutados não por suas habilidades de codificação de malware, mas por suas habilidades de phishing, engenharia social e intrusão de rede.

De fato, sabemos exatamente o tipo de “habilidades”, se é uma palavra aceitável para usar aqui, que os operadores de RaaS procuram em seus afiliados.

Cerca de dois anos atrás, a gangue do ransomware REvil colocou um legal $ 1,000,000 como dinheiro de fachada em um fórum clandestino de recrutamento de hackers, tentando atrair novos afiliados para se juntarem às suas alcaparras cibercriminosas.

Afiliados normalmente parecem ganhar cerca de 70% de qualquer dinheiro de chantagem que é extorquido pela gangue de qualquer vítima que eles atacam, o que é um incentivo significativo não apenas para ir com força, mas também para ir de forma ampla e profunda, atacando e infectando todo o redes de uma só vez.

Os invasores geralmente também escolhem um momento deliberadamente difícil para a empresa que estão atacando, como nas primeiras horas de um fim de semana.

Quanto mais completamente a rede de uma vítima for descarrilada e interrompida, mais provável é que ela acabe pagando para desbloquear seus preciosos dados e fazer o negócio funcionar novamente.

Como o REvil deixou claro quando gastou esse “orçamento de marketing” de US$ 1 milhão online, a equipe principal do RaaS estava procurando:

   Equipes que já possuem experiência e habilidades em testes de penetração, trabalhando com msf/cs/koadic, nas/tape, hyper-v e análogos dos softwares e dispositivos listados.

Como você pode imaginar, a gangue REvil tinha um interesse especial em tecnologias como NAS (armazenamento conectado em rede), fita de backup e Hyper-V (plataforma de virtualização da Microsoft) porque interromper quaisquer backups existentes durante um ataque e “desbloquear” servidores virtuais para que possam ser criptografados junto com todo o resto torna mais difícil do que nunca a recuperação das vítimas por conta própria.

Se você sofrer um ataque de embaralhamento de arquivos apenas para descobrir que os criminosos destruíram ou criptografaram todos os seus backups primeiro, sua rota principal para a auto-recuperação já pode estar destruída.

Afiliações tensas

É claro que as relações simbióticas entre os membros principais de uma gangue RaaS e os afiliados dos quais eles dependem podem facilmente se tornar tensas.

A tripulação da Conti, nomeadamente, sofreu ruções entre as fileiras há pouco mais de um ano, com uma espécie de motim entre os afiliados:

Sim, claro que eles recrutam otários e dividem o dinheiro entre si, e os meninos são alimentados com o que eles vão deixar saber quando a vítima pagar.

Como apontamos na época, a implicação era que pelo menos alguns afiliados na cena do ransomware Conti não estavam recebendo 70% do valor real do resgate coletado, mas 70% de um número imaginário, mas menor, relatado a eles pelo núcleo Conti. membros de gangues.

Um dos afiliados descontentes vazou um arquivo substancial relacionado à tripulação da Conti intitulado Мануали для работяг и софт.rar (Manuais de operação e software).

Ligue seus amigos

Bem, os Estados Unidos acabaram de aumentar a aposta mais uma vez, oficial e publicamente oferecendo uma recompensa de “até US$ 10 milhões” sob o título de uma única palavra Conti:

Detectado pela primeira vez em 2019, o ransomware Conti foi usado para realizar mais de 1,000 operações de ransomware direcionadas a infraestrutura crítica internacional e dos EUA, como agências de aplicação da lei, serviços médicos de emergência, centros de despacho 9-1-1 e municípios. Essas redes de assistência médica e de primeiros socorros estão entre as mais de 400 organizações em todo o mundo vitimadas pela Conti, das quais mais de 290 estão localizadas nos Estados Unidos.

Os operadores do Conti geralmente roubam os arquivos das vítimas e criptografam os servidores e estações de trabalho em um esforço para forçar o pagamento de resgate da vítima. A carta de resgate instrui as vítimas a entrar em contato com os atores por meio de um portal online para concluir a transação. Se o resgate não for pago, os dados roubados são vendidos ou publicados em um site público controlado pelos atores da Conti. Os valores de resgate variam muito, com algumas demandas de resgate chegando a US$ 25 milhões.

O pagamento está disponível sob uma iniciativa global anticrime e antiterrorismo dos EUA conhecida como Recompensas por Justiça (RfJ), administrado pelo Serviço Diplomático dos EUA em nome do Departamento de Estado dos EUA (o órgão do governo que muitos países de língua inglesa chamam de “Negócios Estrangeiros” ou “Ministério das Relações Exteriores”).

O programa de RfJ remonta a quase 40 anos, período durante o qual afirma ter pago cerca de US$ 250 milhões para mais de 125 pessoas diferentes em todo o mundo, o que reflete pagamentos médios médios de cerca de US$ 2,000,000 cerca de três vezes por ano.

Embora isso sugira que é improvável que qualquer denunciante individual da saga Conti ganhe os US $ 10 milhões por conta própria, ainda há muito dinheiro de recompensa para receber.

De fato, o RfJ promoveu sua Recompensa anti-crime de US$ 10 milhões antes, sob uma descrição geral:

[O programa RfJ] está oferecendo uma recompensa de até US$ 10 milhões por informações que levem à identificação ou localização de qualquer pessoa que, agindo sob a direção ou sob o controle de um governo estrangeiro, participe de atividades cibernéticas maliciosas contra a infraestrutura crítica dos EUA em violação do Computer Fraud and Abuse Act (CFAA).

Desta vez, porém, o Departamento de Estado dos EUA expressou um interesse explícito em cinco indivíduos, embora sejam conhecidos apenas por seus nomes subterrâneos no momento: dândis, Professor, Reshayev, Target e Vagabundo.

Suas fotos são igualmente incertas, com o página RfJ mostrando a seguinte imagem:

Somente um instantâneo mostra um suposto perpetrador, embora não esteja claro se a alegação é que ele pode ser um dos cinco atores de ameaças listados acima, ou simplesmente um jogador da gangue mais ampla com um apelido e função desconhecidos:

Há um chapéu curioso (uma peça de festa, talvez?) com uma estrela vermelha; uma camisa com um logotipo em grande parte obscurecido (você pode extrapolar a palavra?); uma caneca de cerveja ao fundo; uma bebida com aparência de vazio em uma garrafa de vidro transparente (cerveja, pelo tamanho e formato?); um instrumentista invisível (tocando uma balalaica, por suas cravelhas?) em primeiro plano; e uma cortina estampada amarrada na frente de uma persiana de estilo veneziano na parte de trás.

Algum comentarista se preocupa em adivinhar o que está acontecendo nessa imagem?

---

SAIBA MAIS SOBRE RANSOMWARE EM 2022

---