Hackerul rus misterios din spatele rețelei Conti. Organizația avea birouri fizice și plătea bonusuri de performanță

0
0
Publicat:
Ultima actualizare:

O amplă operațiune internațională a poliției cibernetice l-a identificat pe liderul rețelei Conti, aflată în spatele celor mai distructive programe de tip ransomware din ultimii ani. Este vorba de hackerul rus Vitali Nikolaevici Kovalev, în vârstă de 36 de ani, creatorul printre altele, al software-ului mailițios Trickbot, care ar fi afectat circa 4% din companiile din întreaga lume, relatează El Pais.

Infractori cibernetici FOTO Shutterstock

Rețeaua Conti avea 100 de membri, și era orientată spre profit, lucrând pe bază de proiecte, potrivit Oficiului Federal al Poliției Criminale din Germania (BKA).

Totuși puțini dintre aceștia l-au putut identifica, nu-i cunoșteau nici măcar numele, ci doar cele două pseudonime ale sale - „Stern” și „Ben”.

Gruparea infracțională cibernetică a obținut sute de milioane de dolari din programele malițioase care au afectat sute de mii de sisteme din Germania și din întreaga lume; între care agenții publice, companii și persoane fizice, a dezvăluit BKA. În 2020, la apogeul pandemiei, hackerii au atacat mai multe spitale din SUA și au cerut răscumpărări de 10 milioane de dolari.
Hackerul rus ar trăi la Moscova FOTO via El Pais

O investigație a firmei de analiză în materie de securitate cibernetică Check Point Research a dezvăluit mai multe detalii despre funcționarea rețelei, după ce a obținut documente interne de la o sursă din interior. Conti era organizată ca o companie de tehnologie - cu team leaderi, șefi de departamente și chiar un birou de resurse umane responsabil de recrutări. Angajații erau plătiți în bitcoin, erau oferite  bonusuri pentru angajatul lunii, iar gruparea avea și birouri fizice.

Recrutările se făceau pe dark web, dar anumiți candidați au fost contactați pe baza unor CV-uri furate din computere infectate. Conti a angajat programatori, ingineri IT, criptografi, administratori de sistem, specialiști în informații și negociatori.

„Unii angajați nici măcar nu își dădeau seama că lucrează pentru o organizație cibernetică. Nu toți angajații știau că iau parte la activități infracționale”, potrivit Check Point.

De pildă, în cadrul unui interviu care a avut online managerul îi spunea unui posibil candidat că „totul este anonim aici, direcția principală a companiei este software pentru testarea securității sistemelor cu atacuri controlate”.

La capătul unei investigații de mai mulți ani, Operațiunea Endgame, la care au participat mai multe țări din Europa, alături de SUA și Canada, au fost identificați liderul, Kobalev, și 35 de complici, creierii din spatele programelor Qakbot și Danabot, două dintre cele mai mari amenințări cibernetice la nivel global.

Programe revoluționare în materie de ransomware

„Qakbot, în special, este unul dintre cei mai vechi și mai sofisticați troieni bancari, activ din 2007 și i-au fost extinse capacitățile de-a lungul timpului pentru a include funcții precum furtul de acreditări, furt de date și distribuirea de ransomware”, explică Mar Rivero, șeful departamentului de cercetare în domeniul securității la Kaspersky.

Hackerii din rețeaua infracțională au folosit Qakbot ca o modalitate de a introduce ransomware extrem de distructiv. „Una dintre cele mai mari etape ale sale a fost participarea la lanțurile de infectare care au afectat agențiile guvernamentale și instituțiile financiare din SUA și Europa, provocând pierderi de milioane de dolari și paralizarea operațiunilor critice”, explică expertul.

Qakbot a fost dezmembrat în 2023, în urma unei operațiuni internaționale conduse de SUA. Dar imediat a apărut o nouă versiune a acestui troian. Acest tip de virus informatic se deghizează în software legitim pentru a obține acces la sistemele țintă. Victima primește un e-mail de la banca sa, care conține un link de descărcare. Odată ce software-ul este instalat, acesta începe să execute operațiuni fără știrea utilizatorului. 

În schimb, celălalt program, Danabot, este mai recent. Activ din 2018, este promovat ca Malware as a Service (MaaS), ceea ce „permite multor infractori, chiar și celor fără cunoștințe avansate, să intre în lumea criminalității cibernetice, deoarece le oferă tot ce au nevoie în schimbul unor sume de bani foarte rezonabile”, explică Josep Albors, director de cercetare la ESET Spania.

De pildă, Danabot a fost folosit cu succes într-un atac Distributed Denial of Service (DDoS) împotriva Ministerului Apărării din Ucraina, la scurt timp după invazia rusă. „A fost folosit atât pentru fraude financiare, cât și pentru a lansa atacuri în sprijinul intereselor statului rus. Este un bun exemplu al modului în care infrastructura criminală poate fi utilizată atât pentru câștiguri economice, cât și pentru obiective geopolitice”, spune Adam Meyers, directorul operațiunilor de amenințare la CrowdStrike.

Având în vedere impactul și ușurința în utilizare a acestora, „se poate spune că Qakbot și Danabot au transformat semnificativ peisajul amenințărilor cibernetice”, spune Jaimie Williams, cercetător principal în domeniul informațiilor despre amenințări la Palo Alto Networks. „Acestea au permis ca activitatea rău intenționată să se extindă la niveluri  imposibil de atins anterior de către actori individuali.”

Un șarpe cu multe capete

În urma operațiunii Endgame, rețeaua de hackeri a fost destructurată. și a avut drept rezultat distrugerea a 300 de servere, 650 de domenii (adrese web unice) și confiscarea a peste 3 milioane de euro (3,5 milioane de dolari) în criptomonede.

„Atât Danabot, cât și Qakbot erau programe de tip Malware as a Service, ceea ce înseamnă că întreruperea infrastructurii lor le afectează nu doar propriile activități infracționale, ci și pe toți cei care foloseau aceste instrumente. Acum au pierdut accesul la computerele pe care le compromiseseră deja și pe care le controlau cu aceste programe”, explică Geri Revay, cercetător principal în domeniul securității la FortiGuard Labs.

Dintre cele 36 de persoane identificate prin Operațiunea Endgame, 20 sunt vizate de mandate internaționale de arestare, în timp ce restul de 16 au fost puse sub acuzare oficial de către Departamentul de Justiție al SUA. Însă, din moment ce marea majoritate locuiesc în Rusia, există puține șanse să fie arestate.

„Aceste bande tind să opereze în țări care nu au acorduri de extrădare și nu cooperează cu Europol, Interpol sau FBI. Până când nu fac o greșeală, este foarte dificil să-i prinzi”, explică Rafael López, inginer de securitate la Check Point Software.

„Multe bande de ransomware tind să reapară după un timp. Își schimbă adesea numele pentru a continua să opereze”, notează Javier Vicente, cercetător în domeniul amenințărilor la Zscaler.

SUA și alte țări îl urmăresc pe Kovalev și pe asociații săi de mai mulți ani, însă acesta rămâne un milionar anonim din Moscova, care conduce un imperiu al criminalității cibernetice.

Mai multe pentru tine:
Top citate ale marilor scriitori români care continuă să fie relevante la ani distanță de când au fost scrise: „Menirea vieții tale este să te cauți pe tine însuți”
Horoscop 30 iunie-6 iulie. Zodiile protejate și susținute de Univers la începutul lunii viitoare. Trei nativi primesc bani și au noroc în dragoste
Marele succes obținut de Kate Middleton și Prințul William! La ce capitol au depășit și celebritățile din Marea Britanie
În timp ce Jeff Bezos aruncă cu banii la nunta lui din Veneția, fosta lui soție își cheltuie miliardele complet diferit
Un japonez a rămas șocat de ceea ce a trăit la o nuntă în România. Ce obiceiuri românești l-au luat prin surprindere: „Nu e prea mult? Asta nu e nuntă” VIDEO
Imperiul care a fost la un pas de dispariție. Momentul de răscruce din istoria lumii și miracolul care a salvat un stat aflat aproape de colaps total
Prințesa Charlene și gemenii au fost retrași de urgență de pe lista de călătorie alături de Prințul Albert. Care e motivul?
Ce mănâncă grecii, de fapt, și care este secretul care ți-a fost ascuns până acum. Un patron de restaurant dezvăluie adevărul despre o vacanță perfectă în Grecia
Care sunt cele 2 zodii care spun una și fac alta: La cine ar trebui să fii atent?
Baiazid vs. Timur: Ankara 1402. Imperiul Otoman la un pas de dispariție
Găsește colierul de perle ascuns printre lalele, în mai puțin de 30 de secunde!