De Conti-ransomwaregroep verdiende sinds juli van dit jaar zeker 25,5 miljoen dollar, zo claimt securitybedrijf Prodaft op basis van een analyse van de bitcoinadressen die de criminelen gebruikten. In september waarschuwden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) voor een toename van aanvallen door de Conti-groep.
Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. Conti hanteert een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.
In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon, aldus de FBI en NSA. Om toegang tot netwerken te krijgen maken de criminelen onder andere gebruik van malafide e-mailbijlagen, gecompromitteerde vpn- en rdp-wachtwoorden en bekende kwetsbaarheden in Windows en firewalls van Fortinet.
"Conti weet dat veel gebruikers hun beveiligingsupdates niet tijdig installeren. De partners van de ransomwaregroep gaan ervan uit dat gebruikers dagen of soms zelfs weken wachten met het installeren van patches. Met een geautomatiseerd RaaS-model zoals dat van Conti is het mogelijk voor aanvallers om ongepatchte systemen uren na het uitkomen van beveiligingsupdates aan te vallen", aldus Prodaft.
Tijdens het onderzoek naar de Conti-groep ontdekte Prodaft 113 bitcoinadressen die bij de aanvallen werden gebruikt. Sinds juli ontvingen deze adressen 25,5 miljoen dollar in bitcoin. Daarnaast blijkt dat één van de partners van de Conti-groep ook voor de DarkSide-groep heeft gewerkt, die achter de aanval op de Colonial Pipeline in de Verenigde Staten zat. Recentelijk meldde Europol dat de Conti-groep dit jaar twaalf miljoen dollar zou hebben verdiend.
Deze posting is gelocked. Reageren is niet meer mogelijk.