Meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware, zo claimen de FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de United States Secret Service. De diensten hebben hun initiële waarschuwing voor deze specifieke ransomware van nieuwe informatie voorzien.

De diensten stellen dat Conti een ransomware-as-a-service (RaaS)-model hanteert, maar er wel een verschil is. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon.

Om toegang tot de netwerken van hun slachtoffers maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens. Daarnaast worden slachtoffers ook gebeld, gebruiken de aanvallers malafide software die via zoekmachineresultaten wordt verspreid en andere malware die al op het systeem aanwezig is. Volgens de Amerikaanse diensten wordt bij Conti-aanvallen vooral gebruikgemaakt van de Trickbot-malware.

De waarschuwing van de diensten bevat nu ook honderd domeinnamen die mogelijk door groepen zijn gebruikt die de Conti-ransomware verspreiden. Met deze indicators of compromise kunnen organisaties kijken of zij mogelijk ook doelwit zijn, of zijn geweest. Onder andere de Noorse hotelketen Nordic Choice, Ierse gezondheidzorg HSE, elektronicafabrikant JVC Kenwood en de Belgische MSP ITxx werden slachtoffer van de Conti-ransomware.