Check Point revela como opera o grupo cibercriminoso Conti

Depois de analisar documentos divulgados online, a Check Point Research revela que o Conti funciona como uma gigante tecnológica, revelando que alguns funcionários não sabem que fazem parte de uma operação de cibercrime

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), obteve novos detalhes sobre as operações internas no grupo de ransomware Conti. O Conti é um grupo de ransomware-as-a-service (RaaS), que permite aos seus afiliados alugar acesso à sua infraestrutura para lançar ataques. Especialistas da indústria afirmam que o Conti está sediado na Rússia e pode ter ligações aos serviços secretos russos. O Conti tem sido acusado de perpetrar vários ataques de ransomware contra dezenas de negócios, incluindo a gigante do vestuário, FatFace, e à Shutterfly, bem como infraestruturas críticas, como o sistema nacional de saúde irlandês e outras redes de primeira necessidade.

No dia 27 de fevereiro deste ano, uma cache de logs de chat pertencente ao grupo Conti foi divulgada online por um alegado infiltrado que afirmou ter-se oposto ao apoio do grupo à invasão russa da Ucrânia. A CPR analisou os ficheiros divulgados, concluindo que o grupo de ransomware opera como uma gigante tecnológica. O grupo Conti tem um departamento de RH, um processo de recrutamento, espaços de escritório físicos, salários e pagamentos de bónus.

Detalhes sobre as operações internas do grupo Conti

Opera como uma empresa de tecnologia

• Estrutura hierarquizada e definida
• Líderes de equipa que reportam à gestão superior
• Principais grupos identificados: RH, programadores, testers, especialistas em crypto, administradores de sistemas, engenheiros de reversão, equipa ofensiva, especialistas OSINT e staff de negociação
• A CPR identificou os principais envolvidos e respetivos nomes: Stern (chefe), Bentley (líder técnico), Mango (gestor de gestões gerais), Buza (gestor técnico), Target (gestor responsável pelos programadores e os seus produtos), Veron aka Mors (ponto central das operações do grupo com o trojan Emotet)

Trabalham em escritórios físicos na Rússia

• O grupo Conti tem vários escritórios físicos. A curadoria destes espaços é feita pelo “Target”, o parceiro de Stern e chefe efetivo de operações de escritório, que é também responsável pelo fundo salarial, pelo equipamento técnico de escritório, pelo processo de contratação do Conti e pela formação do pessoal. Durante o ano de 2020, os escritórios offline foram utilizados principalmente por testers, equipas ofensivas e negociadores; o Target menciona 2 escritórios dedicados a operadores que falam diretamente com representantes das vítimas.
• Em Agosto de 2020, foi aberto um escritório adicional para administradores de sistemas e programadores, sob a tutela do "Professor que é responsável por todo o processo técnico de assegurar a infeção de uma vítima."

Compensação: bónus mensais, multas, funcionário do mês, reviews de desempenho

• Os membros da equipa de negociação da Conti (incluindo especialistas OSINT) são pagos à comissão, que corresponde a uma percentagem que varia entre 0,5% e 1% do montante do resgate pago. Os programadores e alguns dos gestores recebem o salário em bitcoin, transferido uma ou duas vezes por mês.
• Embora as multas sejam na sua maioria utilizadas como uma ferramenta estabelecida no departamento de programação, esporadicamente, são implementadas também por caprichos de gestores noutros departamentos – por exemplo, em TI e DevOps, onde uma pessoa responsável pelo depósito de dinheiro foi multada em $100 por um pagamento falhado.

O talento é recrutado de fontes legítimas e ilegítimas

• O principal recurso utilizado pelo departamento de RH do Conti para a contratação são os serviços de recrutamento de língua russa, tais como o headhunter.ru. Também utilizam outros sites como o superjobs.ru, mas alegadamente com menos sucesso. O Conti OPSec proíbe que se deixem vestígios de vagas de emprego para programadores neste tipo de websites, um regulamento rigorosamente imposto por um dos superiores, "Stern".
• Assim, para a contratação de programadores, o Conti contorna o sistema de emprego do headhunter.ru, em vez de aceder directamente ao grupo de CVs e contactar os candidatos por e-mail. Poderá perguntar-se "porque é que o headhunter.ru oferece esse serviço?", e a resposta é, não o faz. O grupo Conti pediu de "empréstimo" a reserva de currículos sem autorização, o que parece ser uma prática padrão no mundo do cibercrime.

Alguns trabalhadores do Conti não sabem que fazem parte de uma operação de cibercrime

• Numa entrevista de emprego online, um gestor diz a um potencial contratado para a equipa de programação: "aqui tudo é anónimo, a matriz principal da empresa é o software para pentesters” (testes de penetração em sistemas, um método que avalia a sua segurança através da simulação de um ataque).
• Noutro exemplo, um membro do grupo conhecido por “Zulas”, muito provavelmente a pessoa que desenvolveu o backend do Trickbot na linguagem de programação Erlang, demonstra exemplos do seu trabalho e revela até o seu nome verdadeiro. Quando o seu gerente menciona que o seu projeto "trick" (Trickbot) foi visto por "metade do mundo", Zulas não compreende a referência, chama ao sistema "lero" e revela que não faz ideia do que o seu software está a fazer e porque é que a equipa se esforça tanto para proteger as identidades dos membros. O seu interlocutor diz-lhe que está a trabalhar num backend para um sistema de análise de anúncios.

O grupo Conti está ativamente a discutir planos futuros: troca de criptomoeda e uma rede social na darknet

• Uma das ideias discutidas foi a troca de criptomoeda no próprio ecossistema do grupo
• Um outro projeto foi a "rede social darknet" (também: "VK for darknet" ou "Carbon Black for hackers"), um projecto inspirado por Stern e realizado por Mango, para ser desenvolvido como um projeto comercial. Em Julho de 2021, Conti estava já em contacto com um designer, que produziu algumas maquetes.

“Pela primeira vez, temos abertura para um grupo conhecido por ser a cara do ransomware. O Conti age como uma empresa de tecnologia. Vemos centenas de funcionários numa hierarquia de gerentes. Vemos funções de RH, com pessoas responsáveis por diferentes departamentos. O alarmante é que temos evidências que nos levam a crer que nem todos os colaboradores estão completamente conscientes de que trabalham para um grupo de cibercrime. Por outras palavras, o grupo Conti tem sido capaz de recrutar profissionais através de fontes legais,” começa por dizer Lotem Finkelstein, Head of Threat Intelligence and Research at Check Point Software. “Estas pessoas pensam estar a trabalhar para uma agência publicitária, quando, na verdade, trabalham para um grupo de ransomware. Quando descobrem a verdade, alguns decidem ficar, o que revela que a equipa de gestão do Conti desenvolveu um processo para reter as suas equipas. É claro para nós que o Conti implementou uma cultura interna para gerar lucro, bem como multar os empregados por comportamentos indesejáveis. Vemos ainda que o Conti tem escrtórios na Rússia. O nosso relatório apresenta descobertas sobre o trabalho e cultura internos do Conti.”

Gráfico representativo da estrutura organizacional do grupo Conti

O link é o seguinte: https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html