Ransomware Conti tem até departamento de pessoal

O grupo de ransomware tem processo de contratação, escritórios offline, salários e pagamentos de bônus
Da Redação
16/03/2022

Um estudo do grupo que opera o ransomware-as-a-service Conti afirma que a operação está sediada na Rússia e que os operadores podem ter ligações com a área de inteligência do governo. O Conti possui um departamento de RH, processo de contratação, escritórios offline, salários e pagamentos de bônus. O estudo foi feito pela divisão de Inteligência em Ameaças da Check Point Software, expondo novos detalhes sobre as operações do grupo Conti. O grupo foi responsabilizado por ataques de ransomware direcionados a dezenas de empresas, incluindo a gigante de roupas Fat Face e a Shutterfly (empresa de produtos fotográficos e compartilhamento de imagens) nos Estados Unidos, bem como a organizações de infraestrutura crítica, como o serviço de saúde irlandês.

Veja isso
Gangue do Conti gastou US$ 6 mi em um ano para realizar ataques
Ransomware: 105% mais ataques em 2021, diz a SonicWall

Em 27 de fevereiro deste ano, apareceu na dark web um grande arquivo contendo as conversas travadas entre membros do grupo, supostamente despejado por um deles, que alegou ter se oposto ao apoio do grupo à invasão russa na Ucrânia. O Conti está estruturado como uma empresa de alta tecnologia, com funções claras de gestão, finanças e RH. O grupo recruta não apenas de fontes clandestinas, mas também legítimas, “pegando emprestados” muitos currículos. Alguns “funcionários” do Conti não têm ideia de que fazem parte de uma operação cibercriminosa. A CPR também descobriu que o Conti tem planos futuros para abrir uma exchange de criptomoedas e uma rede social na dark web.

Detalhes das operações internas do Conti

1. O Conti funciona como uma empresa de tecnologia

• Estrutura hierárquica e definida

i. líderes de equipe que se reportam à alta administração.

ii. Principais grupos observados: RH, codificadores, testadores, criptografadores, administradores de sistemas, especialistas em engenharia reversa, equipe ofensiva, especialistas em OSINT (open source intelligence) e equipe de negociação.

iii. A CPR identificou as principais pessoas envolvidas com seus nomes: Stern (grande chefe), Bentley (líder técnico), Mango (gerente de perguntas gerais), Buza (gerente técnico), Target (gerente responsável pelos codificadores e seus produtos), Veron aka Mors (ponto focal da atuação do grupo com o Emotet).

• Trabalho em um escritório físico na Rússia

i. o grupo Conti possui vários escritórios físicos. A curadoria é do “Target”, sócio do Stern e chefe efetivo das operações do escritório, que também é responsável pelo fundo salarial, equipamentos técnicos de escritório, processo de contratação do Conti e treinamento de pessoal. Durante 2020, os escritórios offline foram usados principalmente por testadores, equipes ofensivas e negociadores. O Target menciona dois escritórios dedicados aos operadores que estão falando diretamente com os representantes das vítimas.

ii. Em agosto de 2020, foi aberto um escritório adicional para administradores de sistemas e programadores, sob a alçada do “Professor”, que é responsável por todo o processo técnico de proteção de uma infecção da vítima.

• Remuneração: bônus mensais, multas, funcionário do mês, avaliações de desempenho

i. Os membros da equipe de negociação do Conti (incluindo especialistas de OSINT) são pagos por comissões, calculadas como uma porcentagem do valor do resgate pago que varia de 0,5% a 1%. Os codificadores e alguns dos gerentes recebem um salário em bitcoin, transferido uma ou duas vezes por mês.

ii. Os funcionários do Conti não são protegidos por seus sindicatos trabalhistas locais e, portanto, precisam suportar algumas práticas das quais os funcionários típicos de tecnologia estão isentos, como ser multado por baixo desempenho.

iii. Embora as multas sejam usadas principalmente como uma ferramenta estabelecida no departamento de codificação, elas são esporadicamente empregadas por caprichos de gerentes em outros departamentos – por exemplo, em TI e DevOps, onde uma pessoa responsável por depositar dinheiro foi multada em US$ 100 por um pagamento não atendido.

2. O talento é recrutado de fontes legítimas e clandestinas

• O principal recurso normalmente utilizado pelo Conti RH para contratação são os serviços de headhunter em russo, como headhunter . ru . Eles também usaram outros sites como superjobs . ru, mas supostamente com menos sucesso. O Conti OPSec proíbe deixar rastros de vagas de trabalho de desenvolvedor em tais sites, um regulamento rigorosamente aplicado por um dos superiores, o “Stern”.

• Assim, para contratar desenvolvedores, o Conti ignora o sistema de empregos headhunter . ru, acessando ilegal e diretamente o pool de currículos e entrando em contato com os candidatos por e-mail.

3. Alguns funcionários do Conti nem sabem que fazem parte de uma operação cibercriminosa

• Em uma entrevista de emprego online, um gerente diz a uma potencial contratação para a equipe de codificação: “tudo aqui é anônimo, a principal direção da empresa é software para pentesters (profissional encarregado de conduzir testes de segurança)”.

• Em outro exemplo, um membro do grupo conhecido pelo apelido “Zulas”, provavelmente a pessoa que desenvolveu o back-end do Trickbot na linguagem de programação Erlang. Zulas é apaixonado por Erlang, ansioso para mostrar exemplos de seus outros trabalhos, e até menciona seu nome verdadeiro. Quando seu gerente menciona que seu projeto “trick” (Trickbot) foi visto por “metade do mundo”, Zulas não entende a referência, chama o sistema de “lero” e revela que não tem ideia do que seu software está fazendo e o porquê a equipe não mede esforços para proteger as identidades dos membros. Seu interlocutor lhe diz que está trabalhando em um back-end para um sistema de análise de anúncios.

4. O Conti está discutindo ativamente planos futuros: troca de criptografia e uma rede social darknet

• Uma das ideias discutidas foi a criação de uma exchange de criptomoedas no próprio ecossistema do grupo.

• Outro projeto é a “darknet social network” (também: “VK for darknet” ou “Carbon Black for hackers”), um projeto inspirado no Stern e realizado pelo Mango, planejado para ser desenvolvido como um projeto comercial. Em julho de 2021, o Conti já estava em contato com um designer, que produziu algumas maquetes.

“Pela primeira vez, temos um ‘perfil’ de um grupo que é conhecido por ser o rosto do ransomware. O Conti atua como uma empresa de alta tecnologia. Vemos centenas de funcionários em uma hierarquia de gerentes, com uma função de RH e com pessoas responsáveis por diferentes departamentos. De forma alarmante, temos evidências de que nem todos os funcionários estão totalmente cientes de que fazem parte de um grupo de crimes cibernéticos”, relata Lotem Finkelstein, chefe de Inteligência de Ameaças da Check Point Software Technologies. 

“Em outras palavras, o Conti conseguiu recrutar profissionais de fontes legítimas. Esses funcionários pensam que estão trabalhando para uma empresa de publicidade, quando na verdade estão trabalhando para um notório grupo de ransomware. Alguns destes colaboradores descobrem a verdade e decidem ficar, revelando que a equipe de gestão do Conti desenvolveu um processo de retenção de colaboradores. Fica claro para nós que o Conti desenvolveu uma cultura interna para gerar lucros, além de multar funcionários por comportamentos indesejáveis. Observamos também que o Conti tem escritórios na Rússia. Nossa análise apresenta descobertas do funcionamento interno e da cultura do grupo Conti”, informa Finkelstein.

O relatório original está em
hxxps://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/

Com informações da assessoria de imprensa

Compartilhar:

Últimas Notícias