กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป
ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน
แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม
ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”
Conti จากไปแล้ว แต่ปฏิบัติการยังดำเนินต่อไป
แม้ว่าแบรนด์ Conti ransomware จะไม่มีอีกต่อไป แต่กลุ่มอาชญากรไซเบอร์ยังคงมีบทบาทสำคัญในการโจมตีด้วย ransomware ต่อไปอีกยาวนาน Boguslavskiy บอกกับ BleepingComputer ว่าแทนที่ Conti จะทำการรีแบรนด์ไปร่วมมือกับกลุ่ม ransomware ขนาดใหญ่ แต่หัวหน้ากลุ่ม Conti ตัดสินใจที่จะร่วมมือกับกลุ่ม ransomware ขนาดเล็กเพื่อโจมตีมากกว่า
ภายใต้ความร่วมมือนี้ กลุ่ม ransomware ที่มีขนาดเล็กกว่าจะได้รับ Conti pentesters และมีผู้ปฏิบัติงานที่มีประสบการณ์เข้าร่วมเป็นจำนวนมาก ทำให้ Conti สามารถหลบเลี่ยงการบังคับใช้กฎหมายได้ง่ายมากขึ้นโดยแตกออกเป็นกลุ่มเล็กๆ และทั้งหมดจัดการโดยผู้นำจากศูนย์กลาง
รายงานของ Intel อธิบายว่า Conti ได้ร่วมมือกับปฏิบัติการ ransomware ที่มีชื่อเสียงมากมาย รวมถึง HelloKitty, AvosLocker, Hive, BlackCat, BlackByte และอื่นๆ
สมาชิก Conti ที่มีอยู่ รวมถึงทีมเจรจา, Intel analysis, pentesters และ developers กระจายไปอยู่กับปฏิบัติการ ransomware อื่นๆ แม้ว่าสมาชิกเหล่านี้จะใช้ตัวเข้ารหัส และเว็ปไซต์การเจรจาต่อรองการดำเนินการด้วยชื่อของ ransomware อื่น แต่พวกเขาก็ยังคงเป็นส่วนหนึ่งของกลุ่ม Conti cybercrime อยู่ดี
การแยกเป็นกลุ่มกึ่งอิสระ และกลุ่มอิสระที่มีขนาดเล็กนั้นแสดงให้เห็นในภาพด้านล่างโดย Advanced Intel
Advanced Intel ยังระบุด้วยว่ากลุ่มอิสระใหม่ของสมาชิก Conti ได้ถูกสร้างขึ้นโดยมุ่งเน้นที่การขโมยข้อมูลทั้งหมดมากกว่าการเข้ารหัสข้อมูล ซึ่งกลุ่มเหล่านี้ได้แก่ Karakurt, BlackByte และกลุ่ม Bazarcall ความคิดริเริ่มเหล่านี้ทำให้กลุ่มอาชญากรไซเบอร์ที่มีอยู่สามารถดำเนินการต่อไปได้ แต่จะไม่อยู่ภายใต้ชื่อ Conti อีกต่อไป
แบรนด์ที่เป็นอันตราย
การรีแบรนด์ Conti ไม่ใช่เรื่องแปลกสำหรับนักวิจัย และนักข่าวที่ติดตามพวกเขาในช่วงหลายเดือนที่ผ่านมา การดำเนินการของ Conti ransomware ที่เปิดตัวในฤดูร้อนปี 2020 หลังจากเข้ามาแทนที่ Ryuk ransomware
ซึ่งก็เช่นเดียวกันกับ Ryuk ransomware เพราะ Conti ก็ปฏิบัติการโดยร่วมมือกับมัลแวร์อื่น ๆ เช่น TrickBot และ BazarLoader
เมื่อเวลาผ่านไป Conti ได้เติบโตขึ้นเป็นปฏิบัติการ ransomware ที่ใหญ่ที่สุด โดยค่อยๆ กลายเป็นกลุ่มอาชญากรไซเบอร์ เมื่อพวกเขาเข้าควบคุมกิจการของ TrickBot, BazarLoader และ Emotet กลุ่ม Conti อ้างความรับผิดชอบในการโจมตีหลายครั้งในช่วงเวลานั้น รวมถึงการโจมตี City of Tulsa, Broward County Public Schools และ Advantech
พวกเขาได้รับความสนใจจากสื่อมวลชนอย่างกว้างขวางหลังจากโจมตีบริการสุขภาพของไอร์แลนด์ (HSE) และกระทรวงสาธารณสุข (DoH) ของไอร์แลนด์ ซึ่งทำให้ระบบไอทีของประเทศไอร์แลนด์ไม่สามารถใช้งานได้เป็นเวลาหลายสัปดาห์ ซึ่งในที่สุด กลุ่ม ransomware ก็ได้มอบตัวถอดรหัสให้กับ HSE ของไอร์แลนด์แบบฟรีๆ
จนกระทั่ง Conti เข้าร่วมกับรัสเซียในการรุกรานยูเครน แบรนด์ Conti จึงถือว่าอันตรายมากๆหลังจากยืนอยู่ข้างรัสเซีย นักวิจัยด้านความปลอดภัยชาวยูเครนเริ่มเปิดเผยการสนทนาภายในมากกว่า 170,000 รายการระหว่างสมาชิกแก๊ง Conti ransomware และซอร์สโค้ดสำหรับ Conti ransomware encryptor
เมื่อซอร์สโค้ดนี้ถูกเผยแพร่ออกสู่สาธารณะ ผู้โจมตีรายอื่นๆ จึงเริ่มนำมาปรับใช้ในการโจมตีของตนเอง โดยกลุ่มแฮ็ก กลุ่มหนึ่งใช้ตัวเข้ารหัส Conti ในการโจมตีหน่วยงานของรัสเซียเองด้วย
ปัจจุบันรัฐบาลสหรัฐฯ ถือว่า Conti เป็นหนึ่งใน ransomware ที่สร้างความเสียหายมากที่สุดเท่าที่เคยมีมา โดยมีเหยื่อจำนวนหลายพันราย และได้เงินค่าไถ่ไปมากกว่า 150 ล้านดอลลาร์
การโจมตีของ Conti ransomware ทำให้รัฐบาลสหรัฐฯ เสนอรางวัลสูงถึง $15,000,000 สำหรับการระบุตัวตน และตำแหน่งของสมาชิกของกลุ่ม Conti
ที่มา : bleepingcomputer.
You must be logged in to post a comment.