Conti, một trong những nhóm ransomware đình đám nhất năm 2021, đã hiểu được cảm giác trở thành nạn nhân của gián điệp mạng.
Một loạt vụ rò rỉ tài liệu tiết lộ chi tiết về quy mô, khả năng lãnh đạo và hoạt động kinh doanh của Conti cũng như thứ được coi là sở hữu quý giá nhất của nhóm: Mã nguồn ransomware.
Ransomware là loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, sẽ mã hóa hoặc chặn truy cập dữ liệu trên ổ đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng. Tất nhiên việc này không miễn phí và nạn nhân cần phải chuyển tiền vào tài khoản được chỉ định.
Shmuel Gihon, nhà nghiên cứu bảo mật tại công ty tình báo Cyberint (Israek), nói Conti nổi lên vào năm 2020 và phát triển thành một trong những nhóm ransomware lớn nhất trên thế giới. Shmuel Gihon ước tính Conti có khoảng 350 thành viên, kiếm được khoảng 2,7 tỉ USD từ tiền mã hóa chỉ trong 2 năm.
Trong Báo cáo tội phạm internet năm 2021, FBI (Cục Điều tra Liên bang Mỹ) cảnh báo rằng ransomware của Conti nằm trong số “ba biến thể hàng đầu” nhắm mục tiêu vào cơ sở hạ tầng quan trọng ở Mỹ vào năm ngoái. “Nạn nhân thường xuyên của Conti thuộc các ngành sản xuất quan trọng, cơ sở thương mại, thực phẩm và nông nghiệp”, FBI cho hay.
“Họ là nhóm ransomware thành công nhất đến thời điểm này”, Shmuel Gihon nói.
Hành động trả thù?
Trong bài đăng trực tuyến phân tích các thông tin rò rỉ, Cyberint cho biết vụ phát tán dữ liệu của Conti dường như là hành động trả thù, được thúc đẩy bởi một bài đăng của nhóm ủng hộ Nga tấn công Ukraine.
“Conti có thể giữ im lặng, nhưng như chúng tôi nghi ngờ, họ chọn đứng về phía Nga”, Cyberint nói.
Vụ rò rỉ thông tin Conti bắt đầu hôm 28.2, bốn ngày sau khi Nga đưa quân vào Ukraine.
Ai đó đã tạo tài khoản Twitter có tên ContiLeaks và bắt đầu phát tán hàng ngàn thông điệp nội bộ của Conti.
Tài khoản ContiLeaks đã tắt tin nhắn trực tiếp, nên trang CNBC không thể liên hệ với chủ sở hữu của nó.
Chủ sở hữu tài khoản ContiLeaks tuyên bố là một “nhà nghiên cứu bảo mật”, theo Lotem Finkelstein, người đứng đầu bộ phận tình báo về mối đe dọa tại công ty Check Point Software Technologies (Israel).
Người phát tán thông tin Conti dường như đã ngừng sử dụng tài khoản Twitter này, với tweet cuối cùng đăng ngày 30.3: “Những lời cuối cùng của tôi... Hẹn gặp lại tất cả các bạn sau chiến thắng của chúng tôi! Niềm tự hào cho Ukraine!".
Shmuel Gihon cho biết tác động của vụ rò rỉ thông tin của Conti với cộng đồng an ninh mạng là rất lớn.
Công ty an ninh mạng Trellix (Mỹ) gọi đây là vụ rò rỉ Hồ sơ Panama về ransomware.
Hệ thống phân cấp tổ chức cổ điển
Conti hoàn toàn hoạt động ngầm và không bình luận với các phương tiện truyền thông tin tức theo cách mà Anonymous (nhóm hacker đình đám nhất) đôi khi sẽ làm. Thế nhưng, Cyberint, Check Point và các chuyên gia mạng phân tích các tin nhắn cho biết Conti hoạt động và được tổ chức giống như hãng công nghệ thông thường.
Sau khi dịch nhiều thông điệp được viết bằng tiếng Nga, Lotem Finkelstein nói chi nhánh tình báo của công ty ông, Check Point Research, xác định Conti có các chức năng quản lý, tài chính và nguồn nhân lực rõ ràng, cùng hệ thống phân cấp tổ chức cổ điển với các trưởng nhóm báo cáo cho quản lý cấp trên.
Cũng có bằng chứng về bộ phận nghiên cứu và phát triển cùng các đơn vị phát triển kinh doanh của Conti, theo phát hiện từ Cyberint.
Theo Lotem Finkelstein, các tin nhắn cho thấy Conti có văn phòng thực ở Nga, đồng thời nói thêm rằng nhóm này có thể có quan hệ với chính phủ Nga.
Ông nói: “Giả định của chúng tôi là một tổ chức khổng lồ như vậy, với các văn phòng và doanh thu khổng lồ sẽ không thể hoạt động ở Nga nếu không có sự chấp thuận đầy đủ, hoặc thậm chí hợp tác với các cơ quan tình báo của Nga”.
Đại sứ quán Nga tại London đã không trả lời khi được đề nghị bình luận về vấn đề này. Nga trước đó đã phủ nhận việc tham gia vào các cuộc tấn công mạng.
“Nhân viên của tháng”
Nghiên cứu của Check Point Research cũng phát hiện Conti có:
+ Người làm công ăn lương - một số được trả bằng bitcoin - cộng với các cơ hội đào tạo và đánh giá hiệu suất.
+ Người thương lượng nhận hoa hồng từ 0,5% đến 1% tiền chuộc được trả.
+ Chương trình giới thiệu nhân viên, với phần thưởng được trao cho những nhân viên tuyển dụng những người khác đã làm việc ít nhất 1 tháng và một “nhân viên của tháng” kiếm được tiền thưởng bằng 1/2 tiền lương của họ.
Không giống các công ty khác, Conti phạt những người hoạt động kém hiệu quả, theo Check Point Research.
Danh tính người lao động cũng được che giấu bởi handle, chẳng hạn như Stern (“sếp lớn”), Buza (“giám đốc kỹ thuật”) và Target (“đối tác của Stern và người đứng đầu hoạt động văn phòng hiệu quả”), Check Point Research cho biết.
“Khi giao tiếp với nhân viên, cấp quản lý cao hơn thường nói rằng làm việc cho Conti là công việc của cả đời - lương cao, nhiệm vụ thú vị, phát triển sự nghiệp (!)”, theo Check Point Research.
Tuy nhiên, một số tin nhắn vẽ nên một bức tranh khác, với những lời đe dọa chấm dứt hợp đồng do không trả lời tin nhắn đủ nhanh - trong vòng 3 giờ - và làm việc vào cuối tuần cùng ngày lễ, Check Point Research tiết lộ.
Quá trình tuyển dụng
Conti thuê người từ cả các nguồn hợp pháp, chẳng hạn như dịch vụ săn đầu người của Nga và tội phạm ngầm, Lotem Finkelstein cho biết.
Việc tuyển dụng rất quan trọng và “có lẽ không có gì đáng ngạc nhiên khi tỷ lệ doanh thu, mức tiêu hao, tỷ lệ kiệt sức khá cao với các nhân viên Conti cấp thấp”, Brian Krebs, cựu phóng viên của Washington Post, viết trên trang web an ninh mạng KrebsOnSecurity của mình.
Theo Check Point Research, một số người được thuê thậm chí không phải là chuyên gia máy tính. Conti thuê cả người làm việc trong các trung tâm cuộc gọi.
Theo FBI, "hỗ trợ gian lận công nghệ" đang gia tăng, trong đó những kẻ lừa đảo mạo danh các công ty nổi tiếng, đề nghị khắc phục sự cố máy tính…
Nhân viên trong bóng tối
Finkelstein nói: “Đáng báo động là chúng tôi có bằng chứng cho thấy không phải tất cả nhân viên đều nhận thức đầy đủ rằng họ là một phần của nhóm tội phạm mạng. Những nhân viên này nghĩ rằng họ đang làm việc cho một công ty quảng cáo, trong khi thực tế đang làm việc cho nhóm ransomware khét tiếng”.
Các tin nhắn cho thấy các nhà quản lý nói dối các ứng viên được tuyển dụng về tổ chức. Một người nói với người được tuyển dụng tiềm năng: "Mọi thứ đều ẩn danh ở đây, định hướng chính của công ty là phần mềm kiểm tra thâm nhập" - đề cập đến những người kiểm tra thâm nhập, những chuyên gia an ninh mạng hợp pháp mô phỏng các cuộc tấn công mạng chống lại mạng máy tính của chính công ty họ.
Trong một loạt các thông báo, Stern giải thích rằng nhóm đã giữ các lập trình viên trong bóng tối bằng cách để họ làm việc trên một mô đun hoặc một phần của phần mềm thay vì toàn bộ chương trình.
Stern nói nếu nhân viên cuối cùng cũng hiểu ra mọi thứ, họ sẽ được đề nghị tăng lương để ở lại làm việc.
Vượt qua những thất bại
Theo Check Point Research, ngay cả trước khi bị rò rỉ thông tin, Conti đã có dấu hiệu bất ổn.
Stern im lặng từ khoảng giữa tháng 1.2022 và các khoản thanh toán tiền lương cũng dừng lại, theo các tin nhắn.
Vài ngày trước vụ bị rò rỉ thông tin, một thông báo nội bộ Conti cho biết: “Đã có rất nhiều vụ rò rỉ, đã có vụ bắt giữ… không có ông chủ… không có sự rõ ràng… cũng không có tiền… Tôi phải xin phép tất cả các bạn nghỉ 2-3 tháng”.
Theo Check Point Research, dù Conti gặp khó khăn nhưng có khả năng sẽ trỗi dậy. Không giống đối thủ cũ của nó là REvil, với các thành viên bị giới chức Nga bắt giữ vào tháng 1.2022, Conti vẫn đang hoạt động “một phần”.
Conti đã vượt qua những thất bại khác, bao gồm cả việc bị vô hiệu hóa tạm thời Trickbot (phần mềm độc hại được nhóm sử dụng) và vụ bắt giữ một số người bị nghi ngờ liên quan Trickbot vào năm 2021.
Bất chấp những nỗ lực không ngừng để chống lại các nhóm ransomware, FBI dự kiến các cuộc tấn công vào cơ sở hạ tầng quan trọng sẽ gia tăng vào năm 2022.
Gần đây, nhóm hacker NB65 đã sử dụng mã nguồn ransomware bị rò rỉ của Conti để tạo ransomware riêng nhằm sử dụng trong các cuộc tấn công mạng vào các tổ chức Nga. Xem chi tiết tại đây.