Se você acompanha o cenário do crime cibernético há mais ou menos um ano, deve ter lido sobre o grupo de ransomware Conti – um dos maiores grupos de crime organizado em operação no momento.
Eles se destacaram extorquindo grandes somas de dinheiro de mais de 700 empresas desde 2020. No entanto, as coisas estão piorando para Conti depois que eles recentemente experimentaram seu próprio remédio.
Em 25 de fevereiro de 2022, o grupo fez uma declaração pública na qual anunciou que apoia totalmente a Rússia à luz dos eventos atuais.
A postura irritou algumas penas, e apenas alguns dias depois, em 27 de fevereiro, uma nova conta no Twitter chamada “ContiLeaks” apareceu e começou a compartilhar informações confidenciais sobre Conti.
ContiLeaks, um suposto pesquisador de segurança ucraniano, divulgou um registro massivo, incluindo centenas de milhares de mensagens entre membros do grupo.
A equipe da Check Point Research e Brian Krebs se encarregaram de escanear o enorme volume de mensagens para obter insights sobre as atividades operacionais do grupo.
Aqui, o Strong The One destilará ainda mais os dados para mostrar claramente como é o “escritório” de um dos maiores, se não o maior, grupos de crimes cibernéticos. Naturalmente, uma parcela significativa das ocupações profissionais dos remetentes permaneceu não identificada, mas o quadro é bastante claro.
Os codificadores são responsáveis pelas porcas e parafusos do código de malware real, que é fundamental para toda a operação de ransomware.
A Conti também tem pelo menos 9 testadores e criptografadores, sem os quais seria quase impossível entregar o malware. Eles trabalham lado a lado para criar soluções para permitir que o vírus passe pelas medidas de segurança mais recentes.
Os testadores executam o malware por meio de várias soluções de segurança que esperam encontrar ao atacar a empresa-alvo. Por outro lado, os crypters são responsáveis pela ofuscação, o que permitirá que o vírus passe por essas soluções.
Criptógrafos ofuscam o vírus fazendo alterações sintáticas em cargas úteis, binários e scripts para torná-los mais difíceis de detectar e analisar.
Você também pode encontrar pelo menos 6 operadores de ransomware dentro do Conti. As operadoras são o telefone fixo entre a vítima e o grupo. Eles falam diretamente com os representantes das vítimas para negociar o resgate e o processo de pagamento.
Os operadores também coletam informações sobre a saúde da empresa, o que lhes permite definir o valor do resgate perfeito. Se a empresa declarar que não tem fundos suficientes para cobrir o resgate, as operadoras podem retirar este cartão.
Como qualquer outra empresa de “tecnologia”, a Conti possui equipe de recursos humanos, administradores de sistema e afiliadas.
Salários na Conti
Alguns membros, como operadores de ransomware, são remunerados por meio de comissões, calculadas como uma porcentagem do valor do resgate pago e variam entre 0,5% e 1%. Gerentes e programadores tendem a receber salários regulares. Os pagamentos são feitos uma ou duas vezes por mês em Bitcoin.
Como a maioria das outras empresas, a Conti oferece bônus para seus principais funcionários. O que está fora da norma são os cortes salariais devido ao baixo desempenho. Isso seria contra a lei para empresas que operam legalmente.
Além disso, registros de mensagens vazadas revelam que, mesmo antes de ser hackeado, o grupo Conti estava lidando com problemas internos e lutando para pagar seus funcionários. Um de seus chefes desapareceu, supostamente devido ao aumento da atenção do público.
Em suma, parece que vai demorar um pouco até que Conti se recupere e é improvável que vejamos alguma atividade importante nos próximos meses.
