兩年“賺”170 億元贖金!俄羅斯勒索軟體組織 Conti 有 HR、績效考核
北京時間 4 月 14 日訊息,2021 年,俄羅斯組織 Conti 被美國聯邦調查局 (FBI) 列為了最猖獗的勒索軟體組織之一。不過現在,一系列內部檔案的洩露可能讓它明白了作為網路間諜活動受害者的感受。
這些洩露的檔案揭示了 Conti 的組織規模、領導層和業務運作的細節,以及被認為是該組織最珍貴的資產:勒索軟體原始碼。檔案之所被洩露,可能是因為 Conti 支援俄羅斯的立場遭到報復。
威脅情報公司 Cyberint 安全研究員薩繆爾・基恩 (Shmuel Gihon) 表示,Conti 在 2020 年出現,併成長為世界上最大的勒索軟體組織之一。據他估計,該組織大約有 350 名成員,他們在短短兩年內共賺取了約 27 億美元 (約合 172 億元) 的加密貨幣。
FBI 在其《2021 年網際網路犯罪報告》中警告稱,Conti 的勒索軟體是去年鎖定美國關鍵基礎設施的“三大變體”之一。FBI 表示,Conti“最經常攻擊的物件是關鍵製造業、商業設施、食品和農業部門”。
“目前為止,它們是最成功的組織。”基恩稱。
就像普通科技公司
Conti 完全隱匿,不像黑客組織“匿名者”(Anonymous) 那樣有時對新聞媒體發表評論。但 Cyberint、Check Point 和其他分析了洩露資訊的網路安全機構表示,這些資訊顯示 Conti 的運營和組織方式就像是一家普通科技公司。
軟體技術公司 Check Point 威脅情報部門負責人洛特姆・芬克爾斯坦 (Lotem Finkelstein) 指出,在翻譯了許多用俄語撰寫的資訊後,其情報部門 Check Point Research 認定 Conti 具備了明確的管理、財務和人力資源職能,以及典型的團隊負責人向高階管理層彙報的組織層級結構。根據 Cyberint 的調查結果,有證據顯示 Conti 還有研發、業務開發部門。
▲Conti 的組織結構
芬克爾斯坦稱,洩露的資訊顯示 Conti 在俄羅斯設有辦公室,可能與俄羅斯政府有聯絡。“我們… 我們的假定是,如果沒有得到俄羅斯情報機構的全面批准,甚至是一些合作,這樣一個擁有實體辦公室和鉅額收入的龐大組織是無法在俄羅斯開展活動的。”他表示。俄羅斯此前否認參與網路攻擊。
評選月度最佳員工
Check Point Research 還發現,Conti 擁有這麼幾類員工:
・受薪員工:其中一些人是用比特幣支付薪水,外加績效考核和培訓機會;
・談判代表:從支付的贖金中收取 0.5% 到 1% 的佣金;
・員工推薦計劃:如果員工可以招募到其他人並且讓其工作至少一個月,他們就能獲得獎金;
・月度最佳員工:可以獲得相當於一半工資的獎金。
Check Point Research 的研究顯示,與那些正大光明的公司不同的是,Conti 會對錶現不佳的員工進行罰款。
▲員工表現不佳會被罰款
員工的真實身份也會被使用者名稱所隱藏,比如“大老闆”斯特恩 (Stern)、“技術經理”布扎 (Buza) 和“斯特恩的合作伙伴和實際的辦公室運營主管”塔吉特 (Target)。
“當與員工溝通時,Conti 高層往往會說,為 Conti 工作終生受益,可以獲得高工資、有趣的任務、職業成長。”Check Point Research 表示。
然而,一些洩露的資訊卻描繪了一幅不同的畫面。例如,如果員工在三小時內以及在週末和節假日工作時間沒有及時回覆郵件,他們就會受到被解僱的威脅。
招聘流程
芬克爾斯坦說,Conti 既通過俄羅斯獵頭服務機構等合法渠道,也通過地下犯罪組織進行招聘。
《華盛頓郵報》前記者布萊恩・克雷布斯 (Brian Krebs) 在他的網路安全網站 KrebsOnSecurity 上寫道,招聘很重要,因為“Conti 低級別員工的流動率、人員流失率和工作倦怠率都相當高,這或許並不令人意外”。
Check Point Research 稱,Conti 招聘的一些員工甚至不是計算機專家,它曾僱人在呼叫中心工作。FBI 已表示,“技術支援欺詐”呈上升趨勢,詐騙者冒充知名公司,提出解決電腦問題或取消訂閱費。
有些員工矇在鼓裡
“令人震驚的是,我們有證據表明,並非所有員工都充分意識到自己是網路犯罪集團的一員,”芬克爾斯坦表示,“這些員工以為自己在為一家廣告公司工作,而實際上他們是在為一個臭名昭著的勒索軟體組織工作。”
洩露的資訊顯示,Conti 經理就公司的情況對求職者撒了謊。其中一個經理對求職者說:“這裡一切都是匿名的,公司的主要方向是為滲透測試者提供軟體”。滲透測試者是合法的網路安全專家,他們模擬針對自己公司計算機網路的網路攻擊。
“大老闆”斯特恩在一系列資訊中解釋稱,該組織讓程式設計師從事一個模組或部分軟體,而不是整個專案,從而讓他們矇在鼓裡。斯特恩稱,如果員工最終發現了真相,他們就會提出加薪以留住員工。
已經倒閉了?
根據 Check Point Research 的研究,甚至在資訊洩露前,Conti 就表現出了運營困難的跡象。這些資訊顯示,斯特恩在 1 月中旬左右陷入沉默,工資也停止發放。
就在 Conti 資訊被洩露的幾天前,一條內部訊息稱:“到處都是洩密,有人被逮捕…… 沒有老闆,沒有澄清…… 也沒有錢…… 我不得不要求你們所有人休假 2-3 個月。”
Check Point Research 稱,儘管 Conti 已舉步維艱,但它很可能會東山再起。與前競爭對手 REvil 不同的是,Conti 仍在“部分”運營。
Conti 經受住了其他挫折,包括其使用的惡意軟體“惡作劇機器人”(Trickbot) 被暫時禁用,以及在 2021 年幾名疑似“惡作劇機器人”開發者被逮捕。
儘管打擊勒索軟體組織的努力正在持續進行,但 FBI 預計,關鍵基礎設施面臨的攻擊將在 2022 年增加。