Foto: Pixabay

Organizace Conti se zformovala teprve před dvěma lety, konkrétně v létě roku 2020. Jako nástupce ransomwarové skupiny Ryuk od svého vzniku velmi usilovně a úspěšně škodila celé řadě organizací po celém světě. Při distribuci ransomwaru se přitom spoléhala na partnerství s dalšími „spolupracovníky“. 

Jejich malware TrickBot a BazarLoader byly počátečním bodem vstupu do světa kyberzločineckých subjektů. „Aktivity byly natolik dobré, že skupina se nakonec změnila v syndikát, dobře organizovanou společnost. Na kontě mají řadu významných útoků zaměřených na různé subjekty – například americké město Tulsa, veřejné školy na Floridě, či výrobce čipů společnosti Advantech, nebo dokonce IT systémy irského ministerstva zdravotnictví,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

 

Ochromení zmíněného počítačového systému ve většině irských zdravotnických služeb médiím po celém světě neuniklo, což mimochodem způsobilo rozsáhlé rušení nezbytných operací a této kauze byla věnována velká pozornost. Napadené společnosti v celé řadě případů požadované výkupné dost často uhradily a doslova vsadily vše na to, že jim gang poskytne klíč k odšifrování jejich dat. Činily tak
i přesto, že toto chování není odborníky na kyberbezpečnost doporučováno.

 

Poslední útok a zlomený vaz

Posledním útokem Conti byl pokus o svržení vlády na Kostarice. Skupina zaútočila na počítače tamější vlády a žádala po ní výkupné. Kvůli tomuto kybernetickému útoku Kostarika dokonce vyhlásila nouzový stav. Je potřeba podotknout, že jen v letošním roce si skupina údajně na výkupném měla vydělat kolem 3,6 miliardy korun. Přitom právě úhrada výkupného se jí podle dostupných zdrojů stala osudnou.

 

Přestože organizaci Conti tvořili členové z různých zemí, tak v posledních několika měsících dost nahlas projevovala své sympatie k Rusku a podpořila jeho vojenskou invazi na Ukrajině. I proto se stala terčem ostatních hackerů, včetně těch podporujících Ukrajinu. Výsledkem byly různé úniky interních komunikací či jiných citlivých informací z organizace. „Proto nutně muselo dojít ke změně. Ta se připravovala několik posledních týdnů,“ dokládá Martin Lohnert. Definitivní tečkou by paradoxně podle všeho mohly být uvalené mezinárodní sankce. Nemožnost vybírat výkupné od západních zemí totiž představovalo velký problém.

 

Mrtví stále žijí

Přestože organizace Conti svoji činnost ukončila, neznamená to, že její členové přestali „pracovat“. Došlo k jejich rozdělení a spojení s menšími ransomwarovými gangy, jako je např. AvosLocker, HelloKitty, Hive, BlackCat či BlackByte. „Členové notoricky známého ransomwarového gangu, mimo jiné skládající se z analytiků, penetračních testerů, vývojářů a vyjednavačů, se tak rozptýlili do jiných různých kyberzločineckých skupin a jsou údajně stále součástí syndikátu Conti a zřejmě spadají pod stejné vedení. To jim může pomáhat vyhnout se sankcím, a přitom mohou i nadále provádět stejné kybernetické útoky, jako kdyby činili pod značkou Conti,“ dodává závěrem Martin Lohnert.

Zdroj: tisková zpráva společnosti Soitron