​Аналитики вскрыли организацию группировки криптовымогателей из России

Согласно исследованию Crystal Blockchain, сумма самого крупного выкупа, полученного преступникам из Conti, составила 725 BTC.

Что произошло? Аналитическая компания Crystal Blockchain провела подробное исследование слитых в феврале 2022 года переписок членов хакерской группировки Conti из России. Удалось выяснить, что Conti использовала внебиржевых брокеров, чтобы обналичивать украденную криптовалюту. Эти средства уходили на выплаты членам группировки и на аренду серверов. Согласно расследованию, некоторые сотрудники Conti не знали, какой конкретно деятельность занималась группировка.

Исследование Crystal Blockchain

Что известно о Conti? Хакерская группировка провела множество атак на государственные учреждения и частные компании по всему миру. Преступники ответственны за создание популярных программ-вымогателей, таких как Ryuk и Trickbot.

Исходя из анализа переписок, Conti во многом работает как обычная компания — в ней присутствует найм работников, анализ эффективности и выбор сотрудников месяца. Некоторым соискателям Conti представляли как рекламное агентство. В ней также есть отделы управления, финансов и кадров.

В 2020 году, во время начала пандемии коронавируса, Conti атаковала медицинский центр Ridgeview в Миннесоте. Согласно анализу переписок и транзакций, учреждение отправило 301 BTC (на тот момент более 4 млн долларов) хакерам в качестве выкупа.

Самым крупным выкупом стала транзакция от 10 октября 2020 на 725 BTC (около 8 млн долларов) от неизвестной компании. Предположительной жертвой хакеров мог быть производитель принтеров Xerox, который подвергся атаке в том же 2020 году.

В переписках Conti упоминаются 89 учреждений, на которые планировались нападения, большинство из них базируются в США, еще часть — в Канаде, Австралии и Европе. Точное количество успешных атак, которые привели к выплатам, неизвестно.

Что было ранее? В апреле Минфин США ввел санкции против криптобиржи Garantex и даркнет-маркетплейса Hydra. Ведомство установило, что через счета Hydra прошло около 8 млн долларов, связанных с доходами от программ-вымогателей Ryuk и Sodinokibi. Анализ известных транзакций Garantex показал, что операции на сумму более 100 млн долларов связаны с незаконной деятельностью. Почти 6 млн долларов из них поступили от российской хакерской группировки Conti.

В апреле 2022 года власти США предупредили об угрозе атак на криптокомпании. В Штатах заявили, что угроза исходит от хакеров, спонсируемых КНДР, а их главной целью является криптовалюта. Методы хакеров включают в себя социальную инженерию, побуждающую жертв загружать вредоносное ПО и приложения.

Также криптовалютные сервисы Etherscan, CoinGecko, DeFi Pulse и другие сообщили о случаях появления вредоносного всплывающего окна, предлагающего пользователям подключить свои криптокошельки MetaMask. Согласно предварительному анализу, основной причиной атаки стал вредоносный код в рекламе, которая публиковалась на пострадавших сайтах.