De beruchte ransomware-groep die bekend staat als Conti heeft voortgezet zijn aanval op entiteiten ondanks het feit dat het eerder dit jaar zelf een enorm datalek had opgelopen, volgens nieuw onderzoek.
Conti, toegeschreven aan een in Rusland gevestigde dreigingsactor die bekend staat als Gouden Ulrickis een van de meest voorkomende malwaresoorten in het ransomwarelandschap, goed voor 19% van alle aanvallen in de periode van drie maanden tussen oktober en december 2021.
Conti, een van de meest productieve ransomware-groepen van het afgelopen jaar, zoals LockBit 2.0, PYSA en Hive, heeft de netwerken van ziekenhuizen, bedrijven en overheidsinstanties vergrendeld, terwijl ze losgeld hebben ontvangen in ruil voor het delen van de decoderingssleutel als onderdeel van zijn naam-en-schaamteregeling.
Maar nadat het cybercriminele kartel Rusland steunde bij de invasie van Oekraïne in februari, begon een anonieme Oekraïense veiligheidsonderzoeker onder de Twitter-handle ContiLeaks de broncode en privégesprekken tussen zijn leden te lekken, wat een ongekend inzicht bood in de groep’s werkingen.
“De chats onthullen een volwassen cybercrime-ecosysteem over meerdere bedreigingsgroepen met frequente samenwerking en ondersteuning,” Secureworks zei in een in maart gepubliceerd rapport. De groepen omvatten Gold Blackburn (TrickBot en Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) en Gold Swathmore (IcedID).
Inderdaad, Intel 471’s technisch toezicht van Emotet-campagnes tussen 25 december 2021 en 25 maart 2022, identificeerden dat meer dan een dozijn Conti ransomware-doelen in feite het slachtoffer waren van Emotet-malspamaanvallen, wat benadrukt hoe de twee operaties met elkaar verweven zijn.
Dat gezegd hebbende, lijken de lekken de activiteiten van het syndicaat niet te hebben afgeremd, waarbij het aantal Conti-slachtoffers dat in maart werd gepost steeg tot het op één na hoogste maandelijkse totaal sinds januari 2021, aldus het cyberbeveiligingsbedrijf.
Bovendien zou de groep in de eerste vier dagen van april 11 slachtoffers hebben toegevoegd, zelfs terwijl de operators “zijn ransomware, inbraakmethoden en benaderingen blijven ontwikkelen” als reactie op de openbare onthulling van hun arsenaal.
De bevindingen zijn ook bevestigd door NCC Groep eind vorige maand, die zei dat “Conti-operators hun normale werk voortzetten door netwerken te compromitteren, gegevens te exfiltreren en uiteindelijk hun ransomware in te zetten.”
Een web van verbindingen tussen Conti en Karakurt
De ontwikkeling komt als financieel en tactische overlappingen zijn ontdekt tussen Conti en de Karakurt-gegevensafpersingsgroep op basis van informatie die is gepubliceerd tijdens de ContiLeaks-saga, weken nadat de operators van TrickBot waren opgenomen in het ransomware-kartel.
Een analyse van blockchain-transacties die zijn gekoppeld aan cryptocurrency-adressen van Karakurt heeft aangetoond dat “Karakurt-portefeuilles aanzienlijke sommen cryptocurrency naar Conti-portefeuilles sturen”, aldus een gezamenlijk onderzoek door onderzoekers van Arctic Wolf en Chainalysis.
Bij de hosting van de gedeelde portemonnee zou ook de Diavol-ransomware van de inmiddels ter ziele gegane TrickBot-bende zijn betrokken, met een “Diavol-afpersingsadres dat wordt gehost door een portemonnee met adressen die worden gebruikt in Conti-ransomware-aanvallen”, wat aangeeft dat Diavol wordt ingezet door dezelfde reeks actoren achter Conti en Karakurt.
Nader forensisch onderzoek van een niet nader genoemde klant die werd getroffen door een volgende golf van afpersingsaanvallen na een Conti ransomware-infectie, heeft aangetoond dat de tweede groep dezelfde Cobalt Strike-achterdeur gebruikte die door Conti was achtergelaten, wat wijst op een sterke associatie tussen schijnbaar ongelijksoortige cybercriminaliteitsactoren.
“Of Karakurt een uitgebreide bijzaak is van Conti en Diavol-agenten of dat dit een onderneming is die door de hele organisatie is gesanctioneerd, valt nog te bezien”, zei Arctic Wolf.
“Deze connectie verklaart misschien waarom Karakurt overleeft en bloeit ondanks het feit dat sommige van zijn exfiltratie-only concurrenten uitsterven,” zeiden de onderzoekers, eraan toevoegend: “Of misschien was dit de proefrun van een strategische diversificatie die door de hoofdgroep was geautoriseerd. “
