گردانندگان باجافزار Conti با هدف اعمال فشار هر چه بیشتر به قربانیان خود و وادار کردن آنها به پرداخت باج اقدام به راهاندازی سایتی حاوی اطلاعات سرقتشده کردهاند.
در حالی که تا همین چندی پیش، پس از آلوده شدن دستگاههای شبکه به اسب تروای TrickBot در نهایت باجافزار Ryuk بر روی آنها توزیع میشد از حدود یک ماه قبل انتشار Ryuk از طریق TrickBot متوقف شده و در عوض آن باجافزار Conti بر روی دستگاه آلوده نصب میشود. به همین خاطر برخی، Conti را جایگزین یا نسخهای جدید از باجافزار مخرب Ryuk میدانند.
Conti باجافزار نسبتاً جدیدی است که در قالب خدمات “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) به هکرهای باتجربه و حرفهای در اجرای حملات موسوم به Human-operated اجاره داده میشود.
در جریان اکثر حملات Human-operated مهاجمان پس از رخنه به شبکه سازمان پیش از اجرای رمزگذاری، اقدام به سرقت دادهها میکنند.
مهاجمان در ادامه با تهدید انتشار این دادههای سرقت شده در سایت “نشت اطلاعات” (Data Leak Site)، قربانی را ناچار به پرداخت باج که معمولاً مبالغ هنفگتی است میکنند.
اگر چه Conti تقریباً از اوایل تابستان فعال بوده اما سایت نشت اطلاعات آن با عنوان Conti.News تنها چند روز است که راهاندازی شده است.
در حال حاضر در سایت مذکور نام حدود 30 قربانی که در بین آنها اسامی چند شرکت سرشناس به چشم میخورد فهرست شده است.
برای هر کدام از قربانیان صفحهای اختصاصی ایجاد شده که در آن بخشی از دادههای سرقت شده در دسترس قرار گرفته است.
همچنین گردانندگان Conti تغییراتی را در اطلاعیههای باجگیری خود لحاظ کردهاند؛ بهنحوی که در نمونههای جدید آنها به این موضوع اشاره شده که در صورت عدم پرداخت باج اطلاعات خصوصی قربانی منتشر خواهد شد.
از جمله باجافزارهای دیگری که علاوه بر رمزگذاری، دادههای قربانی را سرقت میکنند میتوان به Ako،و Avaddon،وClop،وCryLock،وDoppelPaymer،و Maze،وMountLocker،وNemty،وNephilim،وNetwalker،وPysa/Mespinoza،وRagnar Locker،وRevil،وSekhmet،وSnatch و Snake اشاره کرد.
توضیح اینکه نمونه مورد بررسی در این خبر با نامهای زیر قابل شناسایی است:
Bitdefender:
– DeepScan:Generic.Ransom.Ryuk2.912230DA
McAfee:
– Ransom-Conti!B7B5E1253710
Sophos:
– Troj/Ryuk-AM