AdvIntel研究人員指出,2月底俄羅斯入侵烏克蘭,Conti公開支持俄國以來,歐美國家的封鎖已讓Conti無法收到任何贖金,上圖為美國國務院在5月6日透過跨國組織犯罪獎勵方案,重金徵求外界提供Conti變種勒索軟體組織成員資料。

在肆虐2年後,惡名昭彰的勒索軟體Conti上周悄悄關閉了官網和收贖金的伺服器,宣告關門大吉,只是研究人員發現,操作Conti的駭客又以新身分繼續活動。

資安廠商Advintel上周指出 ,Conti勒索軟體背後運作組織在5月19日關閉了官網的管理控制臺,而且歹徒用以上傳新資料、恫嚇受害者付款的主要功能已經失效,此外和受害者交涉、及代管偷來資料的基礎架構也都關掉了。Conti基礎架構的其他部份,像是聊天室、通訊軟體、伺服器及代理主機多半已經過重設。

事實上,AdvIntel研究人員發現,Conti組織早從今年4月底就開始顯露撤收的跡象,他們已不太支援勒索行動和收贖金,只留了個網站公佈竊來的資料,直到5月19日把網站公佈資料的功能也關閉,才正式宣告了Conti官網結束運作。

目前Conti網站宣傳的功能還是在,實則大大不同。例如雖然在5月20日,「Conti News」網站還上傳了反美的仇恨言論,宣稱美國是「地球之癌」,但是和之前使用的文雅英文不同,現在的文字品質低落,顯示組織首腦已經不再在乎這網站。

Conti首先於2020年6月開始活動,受害者遍及美國政府機構、醫療、警消單位,也曾駭入愛爾蘭健康服務管理署及衛生部、以及宏碁的網路系統。日經報導,21個月以來Conti發動的攻擊賺到的贖金高達7,700萬美元。4月Conti還駭入了中美洲小國哥斯大黎加,2周下來加密該國海關及財政部等27個系統,並威脅再收不到贖金要鼓動示威推翻該國政府。

不過研究人員強調,這次關閉的是Conti勒索軟體的「品牌」,並非Conti背後的組織。也就是說,惡意組織並非退出江湖,而是要以新的品牌繼續活動。他們發現,2月到4月之間,Conti已為關閉做準備,悄悄設立了「分部」,並以KaraKurt、BlackByte、BlackBasta等新名稱活動以接收Conti的既有「會員」(affiliates)。這些新勒索軟體可能繼承Conti的加密惡意程式,也可能使用新建的惡意程式。

至於何以要關閉Conti網站,研究人員指出,2月底俄羅斯入侵烏克蘭,Conti公開支持俄國以來,歐美國家的封鎖已讓Conti無法收到任何贖金,觸發背後首腦之一reshaev另立品牌的決定。

至於哥斯大黎加的勒索行動,研究人員相信是Conti告別江湖前幹的最後一票。


熱門新聞

Advertisement