Ang Ransomware Gang Conti ay Muling Lumitaw at Ngayon ay Gumagana bilang Tatlong Grupo: TRM Labs

Ang mundo ng cybercrime ay nakakita ng ilang kapansin-pansing pagbabago sa nakalipas na taon: pinalitan ng mga bagong darknet marketplace ang pagsasara ng Hydra at ang mga operator ng kilalang grupong Conti ransomware ay na-rebranded sa ilalim ng mga bagong pangalan, sabi ng blockchain analytics firm na TRM Labs.

Sa isang bagong ulat sinusuri ang muling paghubog ng industriya ng cybercrime mula noong simula ng digmaang Ruso sa Ukraine, pinangalanan ng TRM ang mga di-umano'y kahalili ng Conti, isang kilalang-kilalang ransomware gang na nangikil ng daan-daang bitcoin mula sa mga korporasyon ng U.S., kabilang ang mga organisasyong nangangalaga sa kalusugan sa panahon ng pandemya ng COVID-19. Ayon sa TRM, ang Conti ay "nag-rebrand sa hindi bababa sa tatlong mas maliliit na grupo: Black Basta, BlackByte at Karakurt."

Matagumpay na inaatake ng Conti ang maraming organisasyon sa U.S. na nag-encrypt ng kanilang mga IT system at humihingi ng malaking ransom para ma-unlock ang mga file. Noong 2022, ang grupo nangako ng katapatan nito sa Russia sa kamakailang nagsimulang digmaan sa Ukraine. Di-nagtagal pagkatapos nito, diumano, isang tagaloob na hindi nasisiyahan sa desisyon tumagas gigabytes ng mga mensahe ng mga miyembro ng grupo sa isa't isa, tinatalakay ang mga hack, mga pagbabayad, mga paraan upang ma-cash out ang Crypto at ang kanilang pang-araw-araw na buhay.

Ngunit sa lalong madaling panahon, alinman dahil sa pagtagas ng para sa ilang iba pang mga kadahilanan, iniulat ni Conti tumigil sa operasyon. Gayunpaman, hindi huminto ang mga hacker at ang mga Crypto wallet na naka-link sa mga operator ng Conti ay nanatiling aktibo at malamang na lumipat sa iba pang mga strain ng ransomware.

Read More: Nangikil ang Ransomware Gang ng 725 BTC sa ONE Pag-atake, Nahanap ang On-Chain Sleuths

Noong Enero, Chainalysis inilathala isang ulat na nagsasabing ang mga wallet ng di-umano'y pinuno ng Conti na si Stern ay "nakipagtransaksyon sa mga address na naka-link sa mga strain tulad ng Quantum, Karakurt, Diavol, at Royal noong 2022 kasunod ng pagkamatay ni Conti," dahil ang mga operator ng ransomware ay, tila, karaniwang gumagana sa maraming variant ng malware, nang sabay-sabay na nakikipagtulungan sa isang grupo ng mga hacker collective.

Sinasabi ng TRM na ang pangunahing kahalili ng Conti ay malamang na ang pangkat ng ransomware na kilala bilang Karakurt. Ang LINK sa pagitan ng dalawa ay dati iminungkahi ng mga eksperto sa cybersecurity. Ayon sa isang cybersecurity firm na Avertium, karaniwang inaatake ng Karakurt ang mga organisasyong nakompromiso na noon.

Tulad ng Conti, ang Karakurt ay wala sa itaas umaatake sa mga organisasyong nangangalaga sa kalusugan, sa partikular na isang billing vendor Practice Resources, na tamaan na may pag-atake noong Agosto 2022. Gayunpaman, hindi tulad ng Conti, hindi na-encrypt ng Karakurt ang mga file ng mga biktima ngunit ninakaw lamang ang mga ito at binantaan ang mga biktima na i-leak ito kung T binayaran ang isang ransom.

Ayon sa TRM Labs, naging aktibo ang Karakurt mula pa noong Oktubre 2021. Parehong ginamit ng Conti at Karakurt ang parehong address para ipadala ang mga pagbabayad sa ransomware na natanggap nila noong Oktubre 2021, sabi ng TRM, at pagkatapos ay ipinadala ng address ang pera sa isang "high-risk exchange."

"Ang timeline ng off-chain at on-chain na aktibidad ng Karakurt ay nagpapatunay na ang grupo ay aktibo nang matagal bago ang opisyal na pagsasara ng Conti na naganap noong Mayo 2023. Lumilitaw na ang Karakurt ay na-set up ng Conti noong 2021 at naging ganap na nagpapatakbo sa ilalim ng bagong tatak nito noong 2022," sabi ng pinuno ng legal at government affairs ng TRMbor Labs sa AriDesk na si CoinDesk. Idinagdag niya na malamang, ang parehong mga tao ay nasa likod ng Conti at Karakurt.

Tulad ng para sa mga paraan ng cash-out para sa mga cybercriminal, ang mga darknet marketplace, kung saan ang mga hindi kilalang vendor ay nag-aalok ng mga ilegal na droga, mga pekeng dokumento at iba pang mga kalakal at serbisyo ng anino, ay nagiging isang sikat na channel ng money laundering, sinabi ng TRM Labs sa ulat. Sa isang kahulugan na ang mga platform na ito ay pinagsama ang mga pondo ng kanilang mga gumagamit sa mga sentralisadong wallet, nagsisilbi silang bahagyang bilang isang uri ng mixer, sinabi ng mga ulat.

Ang pagpipiliang ito sa money laundering ay nakakaakit ng higit pang mga cybercriminal kamakailan, lalo na, ang mga kumikita mula sa mga child sexual abuse material (CSAM), o child pornography, sabi ng TRM. Ang kumpanya ay nagrehistro ng pagtaas ng CSAM-related Crypto inflows sa Russia-associated darknet platform, sinabi ng ulat.

Ang digmaan ay maaaring makatulong sa kalakaran na iyon habang ang Russia ay lalong nahiwalay sa Kanluran sa pampulitika at pang-ekonomiyang kahulugan, sabi ng TRM. "Posible na ang pampulitika at pang-ekonomiyang pagkalayo ng Russia mula sa Kanluran ay nagdulot ng mga pananaw na ang bansa ay isang magiliw na hurisdiksyon para sa mga kriminal na naglalayong umiwas sa pagpapatupad ng batas sa Kanluran." dagdag nito.