Geng Conti ransomware yang terkenal telah secara resmi menutup operasi mereka, dengan infrastruktur dimatikan dan para pemimpin tim diberitahu bahwa merek tersebut tidak ada lagi.
Berita ini datang dari Intel Lanjutan Yelisey Boguslavskiy, yang men-tweet sore ini bahwa infrastruktur internal geng dimatikan.
Boguslavskiy mengatakan bahwa infrastruktur yang diambil offline termasuk situs web Tor yang digunakan oleh anggota untuk melakukan negosiasi dan mempublikasikan “berita” di situs kebocoran data mereka. Selain itu, layanan internal lainnya, seperti server obrolan roket mereka, sedang dinonaktifkan.
Meskipun mungkin aneh bagi Conti untuk menutup di tengah perang informasi mereka dengan Kosta Rika, Boguslavskiy memberi tahu kita bahwa Conti melakukan serangan yang sangat umum ini untuk membuat fasad operasi langsung sementara anggota Conti perlahan-lahan bermigrasi ke ransomware lain yang lebih kecil operasi.
Sumber: BleepingComputer
Sementara merek ransomware Conti tidak ada lagi, sindikat kejahatan dunia maya akan terus memainkan peran penting dalam industri ransomware untuk waktu yang lama.
Boguslavskiy mengatakan alih-alih mengubah citra sebagai operasi ransomware besar lainnya, kepemimpinan Conti malah bermitra dengan geng ransomware kecil lainnya untuk melakukan serangan.
Di bawah kemitraan ini, geng ransomware yang lebih kecil mendapatkan masuknya Conti pentester, negosiator, dan operator yang berpengalaman. Sindikat kejahatan dunia maya Conti memperoleh mobilitas dan penghindaran yang lebih besar dari penegakan hukum dengan memecah menjadi “sel-sel” yang lebih kecil, semuanya dikelola oleh kepemimpinan pusat.
Laporan Advanced Intel menjelaskan bahwa Conti telah bermitra dengan banyak operasi ransomware terkenal, termasuk HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, dan banyak lagi.
Anggota Conti yang ada, termasuk negosiator, analis intel, pentester, dan pengembang, tersebar di seluruh operasi ransomware lainnya. Sementara para anggota ini sekarang akan menggunakan enkripsi dan situs negosiasi operasi ransomware lainnya, mereka masih menjadi bagian dari sindikat kejahatan dunia maya Conti yang lebih besar.
Pecahnya kelompok semi-otonom dan otonom yang lebih kecil ini diilustrasikan pada gambar di bawah yang dibagikan oleh Intel Lanjutan.
Sumber: Intel Tingkat Lanjut
Advanced Intel juga menyatakan bahwa grup otonom baru dari anggota Conti telah dibuat yang berfokus sepenuhnya pada eksfiltrasi data dan bukan enkripsi data. Beberapa dari grup ini termasuk Karakurt, BlackByte, dan kolektif Bazarcall.
Inisiatif ini memungkinkan sindikat kejahatan dunia maya yang ada untuk terus beroperasi tetapi tidak lagi dengan nama Conti.
Rebranding Conti tidak mengejutkan para peneliti dan jurnalis yang telah mengikuti mereka selama beberapa bulan terakhir, jika bukan beberapa tahun terakhir.
Operasi ransomware Conti diluncurkan pada musim panas 2020, setelah menggantikan ransomware Ryuk.
Seperti Ryuk, Conti didistribusikan melalui kemitraan dengan infeksi malware lainnya, seperti TrickBot dan BazarLoader, yang menyediakan akses awal ke geng ransomware.
Seiring waktu, Conti tumbuh menjadi operasi ransomware terbesar, perlahan berubah menjadi sindikat kejahatan dunia maya saat mereka mengambil alih operasi TrickBot, BazarLoader, dan Emotet.
Conti bertanggung jawab atas banyak serangan selama masa mereka, termasuk serangan terhadap Kota Tulsa, Sekolah Umum Kabupaten Broward, dan Advantech.
Mereka mendapat perhatian media yang luas setelah mereka menyerang Eksekutif Layanan Kesehatan Irlandia (HSE) dan Departemen Kesehatan (DoH), mematikan sistem TI negara itu selama berminggu-minggu.
Pada akhirnya, geng ransomware menyediakan decryptor gratis untuk HSE Irlandia, tetapi pada saat itu, mereka berada di garis bidik penegakan hukum di seluruh dunia.
Namun, tidak sampai Conti memihak invasi Rusia ke Ukraina bahwa merek Conti menjadi sangat beracun dan nasib mereka disegel.
Sumber: BleepingComputer
Setelah memihak Rusia, seorang peneliti keamanan Ukraina mulai membocorkan lebih dari 170.000 percakapan obrolan internal antara anggota geng ransomware Conti dan kode sumber untuk enkripsi ransomware Conti.
Setelah kode sumber ini menjadi publik, pelaku ancaman lain mulai menggunakannya dalam serangan mereka sendiri, dengan satu kelompok peretas menggunakan encryptor Conti dalam serangan terhadap entitas Rusia.
Pemerintah AS menganggap Conti sebagai salah satu jenis ransomware paling mahal yang pernah dibuat, dengan ribuan korban dan pembayaran tebusan lebih dari $150 juta.
Eksploitasi geng ransomware Conti telah membuat pemerintah AS menawarkan hadiah hingga $15.000.000 untuk identifikasi dan lokasi anggota Conti dalam peran kepemimpinan.
Sumber: Bleeping Computer
