Kamuya açık ‘Conti News’ veri sızıntısı ve fidye pazarlığı siteleri hala çevrimiçiyken, Boguslavskiy Bleeping Computer internet sitesine üyelerin pazarlıkları gerçekleştirmek ve veri sızıntısı sitelerinde “haberler” yayınlamak için kullandıkları Tor yönetici panellerinin çevrimdışı olduğunu söyledi.
Öte yandan sahip oldukları rocket sohbet sunucuları gibi dahili hizmetlerin de devre dışı bırakılmakta olduğu belirtildi.
Conti’nin Kosta Rika ile sürdürdüğü bilgi savaşının tam ortasında faaliyetlerine son vermesi garip gelse de Boguslavskiy Conti’nin bu çok büyük ölçüde kamusal olan saldırıyı canlı bir operasyonun cephesini oluşturmak için gerçekleştirdiğini söylerken, Conti üyeleri yavaş yavaş diğer küçük fidye yazılım operasyonlarına kaydı.
Advanced Intel tarafından yayınlanan bir raporda ise şu ifadeler yer aldı: “Bununla birlikte, AdvIntel’in düşmanca görünümü ve istihbarat bulguları, aslında tam tersi bir sonuca işaret ediyordu: Conti’nin bu son saldırıyla tek hedefi, kendi yok oluşlarını ve müteakip yeniden doğuşlarını gerçekleştirebilecekleri en makul bir şekilde tasarlamak suretiyle platformu bir tanıtım aracı olarak kullanmaktı”
“Kosta Rika’ya fidye yerine tanıtım yoluyla saldırılmasına ilişkin gündem, Conti yönetimi tarafından şirket içi deklare edildi. Grup üyeleri arasındaki iç yazışmalar, talep edilen fidye ödemesinin 1 milyon USD’nin çok altında olduğuna işaret ediyordu (fidyenin 10 milyon USD olduğuna dair doğrulanmamış iddialara ve Conti’nin kendi iddialarına göre meblağın 20 milyon USD olmasına rağmen).”
KÜÇÜK FİDYE YAZILIM ÇETELERİYLE ORTAKLIK KURACAK
Conti fidye yazılımı markası artık olmasa da, siber suçlar karteli fidye yazılımı sektöründe uzun süre önemli bir rol oynamaya devam edecek.
Boguslavskiy, başka bir büyük fidye yazılımı operasyonu olarak yeniden markalaşmak yerine, Conti yönetiminin saldırıları yürütmek için diğer küçük fidye yazılımı çeteleriyle ortaklık kurduğunu söyledi.
Bu ortaklık kapsamında, daha küçük fidye yazılımı çeteleri deneyimli Conti pentestçiler, müzakereciler ve operatörlerin akınına uğruyor. Conti siber suçlar karteli, tümü merkezi yönetim tarafından idare edilen daha küçük “hücrelere” bölünerek hareketlilik ve böylece kolluk kuvvetlerinden daha fazla kaçınma kabiliyeti kazanıyor.
Advanced Intel raporu, Conti’nin HelloKitty, AvosLocker, Hive, BlackCat, BlackByte ve daha fazlası dahil olmak üzere çok sayıda tanınmış fidye yazılımı grubuyla ortaklık kurduğunu açıklıyor.
Müzakereciler, Intel analistleri, pentestçiler ve yazılım geliştiriciler de dahil olmak üzere mevcut Conti üyeleri diğer fidye yazılımı operasyonlarının tamamına yayılmış durumdalar. Bu kişiler şimdilerde diğer fidye yazılımı operasyonunun şifreleyicilerini ve müzakere sitelerini kullanacak olsa da, hala Conti siber suç kartelinin bir parçası konumundalar.
Advanced Intel ayrıca, veri şifrelemesine değil, tamamen veri sızıntısına odaklanan yeni özerk Conti üyesi gruplarının oluşturulduğunu da belirtiyor. Karakurt, BlackByte ve Bazarcall collective bu gruplardan bazılarını oluşturmaktadır. Bu girişimler, mevcut siber suçlar kartelinin faaliyetlerine devam etmesine izin veriyor, ancak artık Conti adı altında değil.
ZEHİRLİ BİR MARKA
Conti’nin marka kimliğinin yenilenmesi, son dönemde şirketi takip eden araştırmacılar ve gazeteciler için sürpriz olmadı. Conti fidye yazılımı operasyonu, Ryuk fidye yazılımının yerini almasının ardından 2020 yazında başlatıldı. Ryuk gibi, Conti de fidye yazılım çetesine ilk erişimi sağlayan TrickBot ve BazarLoader gibi diğer malware enfeksiyonlarıyla ortaklıklar kurulması suretiyle dağıtıldı.
Zamanla, Conti en büyük fidye yazılımı operasyonuna daha sonra da TrickBot, BazarLoader ve Emotet’in operasyonlarını devraldıklarında yavaş yavaş bir siber suç karteline dönüştü. Conti, Tulsa Belediyesine, Broward County Devlet Okullarına ve Advantech’e karşı olanlar da dahil olmak üzere, sayısız saldırıdan sorumluydu. İrlanda Sağlık Hizmetleri Yönetimi’ne (HSE) ve Sağlık Bakanlığı’na (DoH) saldırarak ülkenin BT sistemlerini haftalarca kapattıktan sonra medyanın dikkatini çektiler. Nihayetinde, fidye yazılımı çetesi İrlanda’nın HSE’sine ücretsiz bir şifre çözücü temin etti ancak halihazırda dünya çapında kolluk kuvvetlerinin hedefine girmiş oldu.
Conti’nin Rusya’nın Ukrayna’yı işgalinde Rusya’dan yana taraf olmasına kadar, Conti markası zaten inanılmaz derecede toksik hale gelmişti bile. Rusya’ya katıldıktan sonra, Ukraynalı bir güvenlik araştırmacısı, Conti fidye yazılımı çetesi üyeleri ile Conti fidye yazılımı şifreleyicisinin kaynak kodu arasında 170 binden fazla iç yazışmayı sızdırmaya başladı.
Bu kaynak kodu kamuya duyurulduktan sonra, diğer tehdit aktörleri bunu kendi saldırılarında kullanmaya başladı ve bir hacker grubu Conti şifreleyicisini Rus kuruluşlarına yönelik saldırılarda kullandı.
ABD hükümeti, Conti’yi binlerce kurban ve 150 milyon doların üzerinde fidye ödemesiyle şimdiye kadarki en pahalı fidye yazılımı türlerinden biri olarak görüyor.
Conti fidye yazılımı çetesinin saldırıları, ABD hükümetinin Conti üyelerinin yöneticilerinin kimliklerini ve yerlerini bildirenlere 15.000.000 dolara kadar ödül koymasına sebep oldu.
