Компания Group-IB, один из лидеров в сфере кибербезопасности, исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — ARMattack.
Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB «АРМАДА CONTI. КАМПАНИЯ ARMATTACK». С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство.
Авторы отчета называют русскоязычных хакеров Conti одной из самых успешных групп, занимающихся шифрованием данных с целью получения выкупа. Первые упоминания о Conti появились в феврале 2020 года после того, как вредоносные файлы, с одноименным расширением .conti впервые возникли на радарах исследователей Group-IB. Однако тестовые версии этой вредоносной программы датируются еще ноябрем 2019 года.
C июля 2020 года Conti начала активно использовать технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном DLS (Dedicated Leak Site) — сайте для публикации выгруженных из атакованной инфраструктуры данных компаний-жертв, отказавшихся платить выкуп.
Начиная с 2020 года группа наряду с Maze и Egregor уверенно держалась в тройке лидеров по количеству зашифрованных компаний — в 2020 году Conti выложили на DLS данные 173 жертв. По итогам 2021 года Conti приобретает славу одной из самых крупных и агрессивных групп шифровальщиков: она выходит на первое место по количеству жертв, опубликовав данные 530 атакованных компаний на собственном DLS-сайте. За четыре