Een analyse van vier maanden aan chatlogs, verspreid over meer dan 40 gesprekken tussen de operators van Conti en Hive ransomware en hun slachtoffers, heeft inzicht gegeven in de interne werking van de groepen en hun onderhandelingstechnieken.
In één uitwisseling zou het Conti-team de vraag naar losgeld aanzienlijk hebben verminderd van maar liefst $ 50 miljoen tot $ 1 miljoen, een daling van 98%, wat suggereert dat het bereid is genoegen te nemen met een veel lager bedrag.
“Zowel Conti als Hive verlagen snel de vraag naar losgeld en bieden tijdens de onderhandelingen routinematig meerdere keren substantiële kortingen aan”, zegt Cisco Talos. zei in een rapport gedeeld met The Hacker News. “Dit geeft aan dat, ondanks wat veel mensen denken, slachtoffers van een ransomware-aanval daadwerkelijk een aanzienlijke onderhandelingsmacht hebben.”
Conti en Hive behoren tot de meest voorkomende ransomware-soorten in het dreigingslandschap en zijn samen goed voor 29,1% van de aanvallen die zijn gedetecteerd tijdens de periode van drie maanden tussen oktober en december 2021.
Een belangrijk voordeel van de beoordeling van de chatlogboeken is het contrast in communicatiestijlen tussen de twee groepen. Terwijl Conti’s gesprekken met slachtoffers professioneel zijn en gekenmerkt worden door het gebruik van verschillende overtuigingstactieken om slachtoffers te overtuigen het losgeld te betalen, hanteert Hive een “veel kortere, directere” informele benadering.
Naast het aanbieden van vakanties en speciale kortingen, is het ook bekend dat Conti “IT-ondersteuning” biedt om toekomstige aanvallen te voorkomen, door zijn slachtoffers een zogenaamd beveiligingsrapport te sturen met een reeks stappen die de getroffen entiteiten kunnen nemen om hun netwerken te beveiligen.
Daarnaast heeft de financieel gemotiveerde groep gebruik gemaakt van schriktactieken, waarbij slachtoffers werden gewaarschuwd voor de reputatieschade en juridische problemen als gevolg van een datalek en het dreigen de gestolen informatie te delen met concurrenten en andere belanghebbenden.
“Na het versleutelen van slachtoffernetwerken, gebruikten ransomware-bedreigingsactoren in toenemende mate ‘drievoudige afpersing’ door te dreigen met (1) het publiekelijk vrijgeven van gestolen gevoelige informatie, (2) de internettoegang van het slachtoffer te verstoren en/of (3) de partners, aandeelhouders of leveranciers over het incident”, CISA dat is genoteerd in een advies eerder dit jaar.
Een ander onderscheidend punt is de flexibiliteit van Conti als het gaat om betalingstermijnen. “Dit gedrag suggereert dat Conti-operators zeer opportunistische cybercriminelen zijn die uiteindelijk liever een betaling dan geen betaling hebben”, zei Talos-onderzoeker Kendall McKay.
Aan de andere kant is waargenomen dat Hive snel zijn losgeld eisen indien een slachtoffer de betaling niet op de vastgestelde datum heeft gedaan.
Wat ook opvalt, is de nadruk die Hive legt op snelheid boven nauwkeurigheid tijdens het coderingsproces, waardoor het kwetsbaar wordt voor cryptografische blunders die het mogelijk maken om de hoofdsleutel te herstellen.
“Net als veel cybercriminelen zijn Conti en Hive opportunistische actoren die waarschijnlijk proberen slachtoffers te compromitteren met de gemakkelijkste en snelst mogelijke middelen, waaronder vaak misbruik van bekende kwetsbaarheden”, zei McKay. “Dit is een herinnering aan alle organisaties om een sterk patchbeheersysteem te implementeren en alle systemen up-to-date te houden.”
