首页 > 原创 > 正文

哥斯达黎加遭Conti勒赎软件攻击，Conti是什么？

最后更新：2022.06.01

本月，哥斯达黎加政府旗下多个机关，纷纷遭到Conti勒赎软件的骇侵攻击，造成该国政务运作受到严重影响；该国总统已宣布全国进入紧急状态。

5月16日，曾任哥国财政部长的查韦斯总统向媒体发表了一份强有力的声明，表示：毫不夸张地说，我们正处于战争之中。这场战争是针对一个国际恐怖组织的，该组织显然在哥斯达黎加有特工人员。有非常明显的迹象表明，国内的人正在与 Conti 合作。

资安专家指出，近日观察到Conti勒赎团体对外公开属于该国政府各部门的一批窃得数据，档案大小合计达672 GB，其中已有97%的内容遭到Conti勒赎团体公开。

这次攻击主要的对象为哥斯达黎加财政部，受害的部分包括纳税人信息、出纳、海关等系统。劳工与社会安全部、社会发展与家庭补助基金、Alajuela跨大专院校联合办公室等也均遭到不同程度的攻击。

Conti勒赎团体曾宣称，要针对哥斯达黎加政府各单位发动勒赎攻击，并要求两千万美元的巨额赎金。该集团表示其意图是通过网络攻击推翻政府。

在攻击期间，美国政府还提供了高达 1000 万美元的赏金，以获得能够识别或找到 Conti 集团行动的主要协调人的信息，如果帮助逮捕任何 Conti 成员可以获得 500 万美元。

Conti为何如此嚣张？

Conti是一个勒索软件公司。

Conti擅长双重勒索，即向受害公司收取双份赎金：一个是为了换取解锁受感染系统所需的数字密钥，另一个是为了确保任何被盗数据都将被销毁，不会被出版或出售。

Conti给受害公司一个暗网链接，页面中有一个倒数计时器。受害公司在计时器归零前如果没能协商付款，就会看到他们的内部数据自动发布在Conti的博客上。

双重勒索的绝妙之处在于，即使受害者拒绝付费获得密钥，他们也仍然可能会为了数据不外泄而付费。

Conti在开源情报工具（OSINT）上投入了大量预算。例如，它订阅了许多服务，这些服务可以帮助其确定某特定IP地址的使用者身份，或者确认某IP地址是否与已知的虚拟专用网络 (VPN) 服务相关联。Conti 平均每天可以访问数万台被黑的终端，这些OSINT服务则起到筛选作用，让Conti能聚焦于大型企业网络中的受感染系统。

今年2月27日，一名乌克兰网络安全研究员泄露了Conti近两年的内部聊天记录，聊天记录显示，这个规模在65人至100人的勒索软件集团每月花费数千美元预算，用于购买大量安全软件和杀毒软件。

有专业人士根据泄露的聊天记录，分析了他们的架构：

斯特恩：大老板，斯特恩是船长，他负责为团队领导分配任务、支付工资以及为整个组织所需的工具和服务编制预算。

Salamandra：人力资源，操作员 Salamandra 是 Conti 成功的关键部分，他的角色是人力资源部门之一，并帮助与新候选人及其角色进行谈判。Salamandra 还协助招聘服务，并通过简历寻找合适的候选人。

简历：博主/谈判者，Bio 帮助团队与受害组织进行谈判，并为 Conti 撰写博客。这些博客通常是关于受感染的受害者的，包括他们捕获的信息，以及根据赎金支付方式发布的数据百分比。Bio 确保 Conti 向客户提供解密密钥，以在全额付款的情况下履行合同。

芒果：团队负责人，Mango 是负责 C 组的非常直言不讳的领导者，在整个聊天日志中可以看到带头执行许多不同的操作。

逆转：技术主管，Revers 负责对潜在的新员工进行技术面试，帮助入职，并确保他的团队和新员工拥有工作所需的所有设备。

宾利：系统管理员,Bentley 跟踪服务器场并发送请求以支付在 Conti 内为多个工人支付费用时产生的费用。他总是确保每个团队按时支付他们的工具费用，并要求每个团队负责人提供加密报告。

双胞胎：训练,Twin 是 Conti 团队中最重要的部分，他提供深入的培训，并为新员工提供他们在破坏目标环境时可能遇到的不同情况.

由此，我们可以看出，这个勒索软件集团之所以能如此成功，是因为相比于其他勒索软件公司，Conti更聚焦于年收入1亿美元以上的公司，并且像企业一样，注重管理与运营。