Acredita-se que muitos membros da Conti estão baseados na Rússia ou regiões vizinhas. Durante anos, o Kremlin fez vista grossa para os cibercriminosos baseados no país, tornando-se uma base para vários grupos de ransomware. Os arquivos Conti vazados revelaram que alguns membros de alto nível da gangue parecem ter conexões com o estado russo e os serviços de segurança. Os membros do grupo conversaram sobre trabalhar em assuntos “políticos” e conhecer membros do grupo de hackers russo Cozy Bear, também conhecido como Advanced Persistent Threat 29.
“Conti reconheceu publicamente sua conexão com governos estrangeiros, especificamente seu apoio ao governo russo”, diz Katrina Cheesman, major da Força Aérea dos EUA, porta-voz da Cyber National Mission Force. “Com base em seus laços com Conti e outros indicadores, avalia-se que a liderança do grupo do crime organizado conhecido como Wizard Spider provavelmente tem uma conexão com entidades governamentais dentro da Rússia”, acrescenta Cheesman.
Desde que os arquivos Conti vazaram no início de março, várias empresas de segurança cibernética se debruçaram sobre os documentos. Acredita-se que o Professor, que está incluído no pedido de informações do programa de recompensas e também está envolvido no Trickbot, supervisiona grande parte da implantação do ransomware e é um “jogador significativo” na operação, de acordo com especialistas em segurança. Em outros casos, vários apelidos online usados por atores do grupo Conti podem, de fato, se referir à mesma pessoa.
Além dos Arquivos Conti, houve outros vazamentos do sindicato do cibercrime. No início deste ano, uma conta no Twitter chamada Trickleaks começou a postar os supostos nomes e detalhes pessoais dos membros do Trickbot. O doxxing, que não foi verificado de forma independente, mas acredita-se ser pelo menos parcialmente preciso, mostra fotos de supostos membros e suas contas de mídia social, detalhes do passaporte e muito mais.
Jeremy Kennelly, um gerente sênior de análise de crimes financeiros na empresa de segurança cibernética Mandiant, diz que a ação contínua contra Conti e Trickbot é “crítica” para ajudar a impedir que grupos de ransomware ganhem dinheiro e ataquem empresas. “Retirar o anonimato de jogadores-chave, oferecer recompensas, apreender fundos ilícitos e fazer declarações públicas de intenção são ações importantes que podem ajudar a aumentar os riscos reais e percebidos de se envolver em operações de ransomware e podem levar a um efeito assustador entre alguns atores criminosos e/ou organizações”, diz Kennelly.
Os funcionários do Rewards for Justice dizem que publicarão seu pedido de informações sobre os membros do Conti em vários idiomas e pedem às pessoas que entrem em contato via um link do Tor. Todas as dicas que eles receberem serão verificadas e qualquer lead deve passar por várias etapas antes que um pagamento seja feito. Eles dizem que é teoricamente possível que várias recompensas de US$ 10 milhões possam ser emitidas. Os funcionários estão visando especificamente espaços online em russo, dizendo que os detalhes da recompensa serão postados na rede social russa VK e também em fóruns de hackers.
Nas últimas semanas, as atividades de Conti diminuíram, pois acredita-se que o grupo esteja tentando fazer um rebranding após o vazamento de seus bate-papos internos. No entanto, muitos dos membros ainda são considerados ativos e envolvidos em outros esforços de crimes cibernéticos. Esses tipos de ataques de ransomware podem ter um enorme impacto nas empresas e na sociedade em geral.
“Embora esses grupos não sejam patrocinados pelo estado, eles rotineiramente realizam ataques tão impactantes quanto qualquer grupo de estado-nação , e eles precisam ser tratados como tal”, diz Allan Liska, analista da empresa de segurança Recorded Future, especializada em ransomware. “Isso provavelmente não levará à prisão de membros do Conti, a menos que algum deles seja burro o suficiente para pisar fora da Rússia. A inteligência que pode ser coletada por meio dessa recompensa pode ser inestimável.”
