谷歌威胁分析小组（TAG）在周三的一篇文章中提到 —— 某个吸纳了前 Conti 勒索软件团伙的网络犯罪组织，正针对乌克兰政府和欧洲非政府组织发起攻击。明面上，俄乌冲突已经持续了半年多。但在幕后，包括黑客攻击和电子战在内的网络活动，也一直在暗中展开较量。 文件分享网站上的 UAC-0098 有效载荷（图自：Google TAG） 最新消息是，TAG 的 Pierre-Marc Bureau 指出 —— 追求利润的网络犯罪组织，也在该领域变得愈加活跃。 2022 年 4-8 月，TAG 一直在追踪涉乌网络行动。有线索表明它们与得到俄方支持的攻击者密切相关。 其中之一，已被乌克兰国家计算机紧急响应小组（CERT）指定为 UAC-0098 。 托管的被盗线索 与此同时，TAG 又将之与肆虐全球的 Conti 勒索软件团伙联系了起来 —— 今年 5 月，该组织曾攻击瘫痪了哥斯达黎加的政府机构。 基于多项分析评估指标，TAG 认定 UAC-0098 的部分团伙、也是 Conti 网络犯罪组织的前成员，理由是他们将类似的技术运用到了针对乌克兰的目标上。 此前该组织有使用名为 IcedID 的网银木马来开展勒索软件攻击。但 Google 安全研究人员称，其现又转向了“既有政治动机、也受利益趋势”的攻击活动。 钓鱼邮件示例（翻译自乌克兰语） TAG 分析，该组织成员正利用其专业知识来充当初始访问代理 —— 黑客先是破坏了计算机系统，然后将访问权限出售给对特定目标感兴趣的其它攻击参与者。 在最近的一轮活动中，UAC-0098 向乌克兰酒店业的一些组织发去了网络钓鱼电子邮件，并且假借了网警的身份。 在另一个案例中，该组织还通过一家被黑的印度酒店的邮件地址，向意大利的一个人道主义非政府组织发起了钓鱼攻击。 其它活动还涉嫌冒充星链互联网卫星服务的代表，以引诱受害者安装所谓的必要联网软件。 PowerShell 脚本示例 最后，这家与 Conti 有染的黑客组织，还曾于 5 月下旬的首次公开后不久，就利用了 Windows 操作系统中的 Follina 漏洞。 不过 TAG 表示，在本次和其它攻击活动中，他们尚不清楚 UAC-0098 在初始攻击得逞后还采取了哪些行动。 当然，此类黑客攻击也并不总是能笑到最后。比如在俄乌冲突爆发初期，高调宣布挺俄的该组织，就被某匿名个人泄露了它们内部一年多的聊天记录。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1313933.htm 封面来源于网络，如有侵权请联系删除

美国国务院今天宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 美国政府首次披露Conti成员的外貌 今天，国务院首次披露了被称为 “Target “的Conti勒索软件操作者的外貌，为他和其他四名被称为 “Tramp”、”Dandis”、”Professor “和 “Reshaev “的成员的信息提供了高达1000万美元的奖励。 正义奖赏计划悬赏1000万美元寻找Conti成员的信息 Conti勒索软件是一个臭名昭著的勒索软件组织，据统计，该勒索组织对全球超过1000次攻击负责，并收到超过1.5亿美元的赎金。在2020年夏天从Ryuk改名为Conti之后，这个勒索软件组织迅速崛起，出手攻击了高知名度的受害者，包括塔尔萨市、布劳沃德县公立学校以及爱尔兰卫生服务执行局（HSE）和美国卫生部（DoH）。 Conti选择与俄罗斯站在一起 然而，在俄乌战争中，Conti选择与俄罗斯站在一起后，一名乌克兰安全研究员开始泄露Conti勒索软件团伙成员之间的17万多条内部聊天对话以及Conti勒索软件加密器的源代码。这一数据泄露事件统称为“Conti泄露事件”。 此次发生的Conti数据泄露事件不仅导致Conti勒索软件的最终关闭，而且流出的内部谈话也使网络安全研究人员和执法部门能够迅速确定谁在负责该行动以及他们的职权划分。 一些Conti的成员在各个攻击行动中起到了重要的核心作用，因此现在已经成为正义奖赏计划的目标。 AdvIntel首席执行官Vitali Kremez向外界宣布的计划目标成员在Conti行动中具有以下作用： Tramp是BlackBasta勒索软件行动的所有者/领导者，之前是Conti勒索软件行动的领导者之一。他也是Qbot恶意软件指挥和控制基础设施业务的所有者和管理者。 Dandis是技术经理和领导，负责管理勒索软件行动的技术经理和领导者。 Professor是Ryuk的领导人之一，负责从战术层面进行勒索软件的操作。 Reshaev是Ryuk/Conti勒索软件的核心领导者/开发者和操作者，为有效载荷提供网络构建器，并为勒索软件操作提供前端和后端支持。 Target是办公室经理同时也是运营 “Ryuk/Conti “办公室的团队领导。他负责网络犯罪集团的实际运作，与其他四个目标不同的是，Target拥有一定的执法背景。 虽然Conti勒索软件品牌已经关闭，但其成员仍然完全活跃，并在其他勒索软件行动和勒索集团中运作。 出于该原因，正义奖赏计划希望通过高额的金钱奖励来鼓励人们提交线索防止未来的攻击。 据《连线》杂志称，美国国务院正在寻找成员的实际位置以及度假和旅行计划。虽然出于一些原因俄罗斯并不会协助美国进行网络调查，但这些攻击者中的许多人可能会离开俄罗斯去度假、探亲等，美国盟友可以在边境逮捕他们。 为了便于线索的提交，美国国务院已经建立了一个专门的Tor SecureDrop服务器，可以匿名的形式来提交被通缉的Conti成员的信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341747.html 封面来源于网络，如有侵权请联系删除

在总统拒绝支付终止网络攻击的费用后，尽管黑客组织已经垮台，但整个国家仍在苦苦挣扎。今年4月，一个名为Conti的俄罗斯勒索软件组织从哥斯达黎加的财政部入手，掀起了27个部门一系列相互关联的攻击。 Conti提出以2000万美元的价格归还这些数据。但哥斯达黎加政府拒绝支付赎金，新上任的总统罗德里戈查韦斯宣布全国进入紧急状态，对所谓的“叛徒”展开追捕，并依靠美国和西班牙等盟友来帮助它。 “我们正处于战争之中”查韦斯在就职后的几天里说。他指责前一届政府隐瞒了破坏的真实程度，并将其比作恐怖主义。 这场攻击导致哥斯达黎加在线税收瘫痪，公共医疗和一些公共部门工作人员的薪资中断。 与此同时，该黑客团体也成为因乌克兰战争而激化的地缘政治的受害者。在该黑团体宣布支持俄罗斯后，一名内部人士泄露了他们的工具包、内部聊天记录作为报复。 随着泄露而来的是Conti的消亡。到6月底，Conti嘲笑哥斯达黎加和其他受害者的网站被关闭，其暗网谈判网站也被关闭。 这使哥斯达黎加为恢复IT系统的努力更加复杂：即使同意支付赎金，也联系不到始作俑者了。 西班牙帮助哥斯达黎加部署了自己的勒索软件保护软件MicroClaudia，美国派出了团队协助，并由微软、IBM和思科公司捐赠软件和专业知识。 安全研究员ShmuelGihon说：“Conti在哥斯达黎加的袭击，在某种程度上是最后一次绝望的尝试，他们希望自己的行动能引起一点关注。” 据估计，Conti曾经有大约400名黑客，还有数量不详的关联机构租用了他们的工具包——这些人在2021年从至少600个目标那里获得了数亿美元的加密货币。 哥斯达黎加仍在努力应对4月黑客袭击的后果。与所有成功的勒索软件攻击一样，如果没有密钥，就没有办法解密自己的数据——大多数系统必须从头开始重建，这个过程可能需要数年时间。 有迹象表明，Conti正在以不同的形式重组，其中就包括一个名为BlackBasta的组织，该组织在短短几个月内就已袭击了50家机构。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1292921.htm 封面来源于网络，如有侵权请联系删除

Conti堪称史上最能卷的网络勒索组织之一，并且其内部组织性非常强，管理制度严格，这也是他能卷到飞起的原因之一。该组织最辉煌的成绩是，在一个月左右的时间里，疯狂地攻击了40多家企业。 网络安全公司 Group-IB研究人员将这一行动命名为“ARMattack”，并表示这是Conti发起的最有成效和效率的勒索活动。 卷上天的ARMattack行动 近日，网络安全公司 Group-IB 发布了一份关于“Conti勒索组织”的报告，报告披露了该组织卷上天的ARMattack行动发生在去年，具体时间是2021年11月17日至12月20日。Group-IB研究人员在事件应急响应活动中发现，该组织在上述时间内发动了疯狂的网络攻击。研究人员基于该组织已经暴露的基础设施域名，将这一行动命名为ARMattack。 ARMattack行动共攻击了40多家不同领域的企业，这些企业分布在不同地理区域广泛开展业务（如下图所示）。他们有一个共同点——大多都是位于美国，Conti勒索组织的针对性十分明显。 ARMattack行动目标企业地理分布图 Group-IB公司的发言人表示，ARMattack行动的速度令人惊讶，这在网络攻击史上也属于少数。尽管 Conti 泄密网站随即就发布了这40多家企业被窃取的数据，但是目前尚不清楚这些企业是否都已经按照要求支付了赎金。 根据 Group-IB报告公布的数据，Conti最短的一个勒索攻击仅仅只用了三天，就完成了从最初的访问到加密企业的系统。 Group-IB报告指出，Conti勒索组织在获得公司基础设施的访问权后，攻击者会将会泄露特定的文件（通常是为了勒索组织）并寻找包含密码（明文和加密）的文件。最后，在获得所有必要的权限以及有价值设备的访问权限后，攻击者就会将勒索软件部署到所有设备并运行。 每天工作长达14个小时 事实上，Group-IB试图通过从公共渠道收集的数据，包括Conti勒索组织泄露的内部聊天记录，来分析其内部成员工的工作时间。据Group-IB研究人员称，Conti 成员每天活动大约 14 小时，除新年外，他们几乎一直在活动，堪称是勒索界最能卷的勒索组织了，这也是他们能够发动ARMattack行动的原因。 连勒索组织都已经这么卷了，安全行业的压力有多大可想而知，只能被迫跟着卷起来，难怪此前有报告称45%的高管和高级安全从业人员因压力大而考虑退出该行业。 该勒索组织一般在中午（莫斯科时间）开始活动，大概在晚上9点之后撤退，其成员分散在多个时区之内，这意味着组织成员广泛分布在多个区域。同时研究人员还强调，该组织内部功能十分完善，基本和正常的企业没什么区别，包括寻找目标、研发、基础设施运维、提供技术支持等人员，内部分工十分明确。 Conti勒索组织有着强大的实力，包括可以监控 Windows 更新和分析新补丁的变化，发现可用于攻击的零日漏洞，以及利用新披露的安全漏洞。对此，Group-IB恶意软件分析团队负责人表示，不断增加的勒索活动和泄露的数据都在表明，Conti勒索组织不是一个普通的恶意软件开发者，而是一个完整的RaaS产业链，为全球数千名具有各种专业知识的网络攻击者提供各种支持，并和他们分享收益。 2022最能勒索的组织之一 根据2022年第一季度收集的勒索数据来看，Conti是攻击频率排名前三的勒索组织，其成绩仅次于臭名昭著的LockBit勒索组织。 根据从 2022 年第一季度收集的数据，Conti 目前是攻击频率排名前三的勒索软件团伙之一，今年仅次于 LockBit。 资料显示，Conti勒索组织首次被发现于2019年12月下旬，据Group-IB表示，其恶意软件的初始测试版本已被追踪到 2019 年 11 月。自被发现以来，遭遇Conti勒索组织攻击但未支付赎金，因此被其公布数据的企业已经增加到859家。这意味着，平均每个月Conti勒索组织都会公布35家以上未支付赎金企业的数据。 近年来，Conti勒索组织十分猖獗，其危害性和趋利性在目前已知的勒索组织排在前列。根据英国、美国和澳大利亚网络安全机构联合发布的调查报告数据，2021年，Conti勒索组织共获得赎金约1.8亿美元，排名第一，独占2021勒索赎金总金额的三分一。（具体可点击暴富、反水、围剿… …Conti勒索组织魔幻的2021年） 2022年5月，Conti勒索组织还对哥斯达黎加多个政府部门发起大规模网络攻击，哥总统总统罗德里戈·查韦斯因此下达了全国进入紧急状态的命令。而上一次下达该命令还是在2020年新冠疫情席卷全球的时候。Conti勒索组织的危害性可见一斑。 尽管Conti勒索组织经历了内部员工反水，并泄露了内部聊天记录、源代码和部分基础设施，但是该组织并未因此出现崩溃的迹象，依旧十分活跃。而通过加强与其他勒索软件运营商的合作，以及收购TrickBot 等网络犯罪组织，Conti还在不断扩大攻击行动，竟呈现出逐渐变强的趋势。目前，Conti已经成为全球的毒瘤之一，尽管美国对其组织成员开出了天价悬赏，但依旧没能阻止其继续发展。     转自 Freebuf，原文链接：https://www.freebuf.com/news/337170.html 封面来源于网络，如有侵权请联系删除

臭名昭著的Conti勒索软件团伙已经正式关闭了他们的运营，基础设施已经下线，团队领导人被告知该品牌已经不复存在。这个消息来自Advanced Intel的Yelisey Boguslavskiy，他今天下午在推特上说该团伙的内部基础设施已经关闭。 虽然面向公众的Conti新闻数据泄漏和赎金谈判网站仍然在线，但Boguslavskiy告诉BleepingComputer，成员用于执行谈判和在其数据泄漏网站上发布”新闻”的Tor管理面板现在已经关闭。此外，BleepingComputer还被告知，其他内部服务，如他们的火箭聊天服务器，正在退役。 虽然 Conti 在与哥斯达黎加的信息战中关闭可能看起来很奇怪，但 Boguslavskiy 告诉我们，Conti 进行了这次非常公开的攻击以创建一个实时操作的假象，而 Conti 成员慢慢迁移到其他更小的勒索软件操作。 然而，Advanced Intel独特的对抗性可见度和情报发现导致了事实上相反的结论。Advanced Inte明天发布的一份报告解释说，Conti想通过这次最后的攻击达到的唯一目的是利用这个平台作为宣传的工具，以最合理的方式演绎他们自己的死亡和随后的重生。 Conti领导层内部宣布对哥斯达黎加进行攻击是为了宣传而不是赎金。该组织成员之间的内部沟通表明，要求的赎金远远低于100万美元。虽然Conti勒索软件品牌已经不复存在，但该网络犯罪集团将在未来很长一段时间内继续在勒索软件行业发挥重要作用。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271855.htm 封面来源于网络，如有侵权请联系删除

近日，勒索软件团伙Conti向哥斯达黎加政府发出威胁要“推翻”该国政府。而就在一个月前，Conti团伙袭击了哥斯达黎加政府基础设施。 这次攻击事件影响了从财政部到劳工部的多个政府部门，根据美联社的报道显示，“最初的攻击迫使财政部门将负责支付该国大部分公职人员的系统关闭了数小时，这个系统还负责处理政府养老金支付。而由于受到攻击，国家不得不批准延期纳税。” 攻击事件发生后，哥斯达黎加政府方面拒绝支付赎金，“哥斯达黎加不会向这些网络犯罪分子支付任何费用”，时任总统Carlos Alvarado公开表示道。 作为回应，Conti团伙在其泄密网站上发表的一份声明中写道：“我们决心通过网络攻击推翻政府，我们已经展示了我们的力量。在你们的政府中我们安插了内部人员，因此建议你们联系我们的附属组织UNC1756。现在距离我们销毁你们的密钥只有不到一周的时间，我们也正在努力获得对你们其他系统的访问权，除了支付赎金你们别无选择。我们知道你们已经聘请了数据恢复专家，不要试图寻找变通办法，这个行业的每个人都与我们有联系。在此我们再次呼吁哥斯达黎加居民上街要求政府付款。如果再看到你们试图通过其他服务解决问题，那我们将删除密钥作为惩罚。” 如今，Conti团伙要求的数据金额达到2000万美元，这个数字起初为1000万美元。 除了哥斯达黎加，此前Conti团伙将秘鲁国家情报局MOF-Dirección General de Inteligencia （DIGIMIN）添加到了其 Tor 泄漏站点的受害者名单中。该机构负责国家、军事和警察情报以及反情报工作。Conti团伙声称窃取了其9.41 GB的数据。 据FBI（美国联邦调查局）统计，Conti团伙在过去两年中入侵了数百个组织，并从1,000多名受害者那里获得了1.5亿美元的赎金。 对此，美国当局提供了高达1000万美元的悬赏，以奖励能够识别或定位在Conti团伙中担任关键领导职务的任何个人的信息，此外还有500万美元的额外悬赏，用于获取那些参与Conti勒索阴谋的个人或国家的信息。该奖励由国务院的跨国有组织犯罪奖励计划（Transnational Organized Crime Rewards Program）提供。   转自 Freebuf，原文链接：https://www.freebuf.com/news/333601.html 封面来源于网络，如有侵权请联系删除  

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等； 哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果； 安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。   5月16日（周一），哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示，国内有合谋者协助Conti勒索软件团伙敲诈政府，这坐实了Conti团伙日前在网站上发布的声明内容。 据阿根廷老牌媒体《国家报》报道称，哥国总统没有公布合谋的内鬼是谁，也未提及他们究竟如何与Conti团伙串通。 总统称，“毫不夸张地说，我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知，国内有人正与Conti合谋。”但他并未透露更多细节。 “这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。” BRETT CALLOW, EMSISOFT公司威胁分析师 上周末，安全厂商Emsisoft威胁分析师Brett Callow发现，Conti网站上发布内容，试图诱导哥国人民以“组织集会”的方式施压，迫使政府支付赎金，还声称“我们决心通过网络攻击推翻政府。” 由于哥国政府“拒不配合”支付赎金，Conti团伙开出的赎金价码已经上涨一倍，目前为2000万美元，同时威胁将在一周内删除解密密钥。 5月8号，哥国总统Chaves刚宣誓就任，就宣布国家进入紧急状态。再往前两天（5月6日），美国国务院悬赏1000万美元，全球征集Conti团队“关键领导者”的个人信息。 Chaves在新闻发布会上表示，哥国政府已经从各部门抽调人手，组建了一支“特警小组”，负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构，其中9家“受到了严重影响”，全面评估排查仍在进行当中。 Chaves指出，勒索软件攻击阻碍了政府的征税工作，并导致不少公职人员工资被多发或少发了。 他指责前任政府没能对网络安全进行充分投资，并向哥国人民强调“此次勒索名为安全事件，实际上是一场国家危机。” 尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据，但威胁分析师Callow表示，内部威胁是个由来已久且影响深远的问题。例如，一家托管服务商（为其他企业提供IT服务，并可访问客户网络的公司）的工程师就曾于2020年1月受到指控，罪名是在暗网论坛上出售客户网络的登录信息。 Callow解释道，“这些团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助，我一点也不会感到惊讶。”   转自 安全内参，原文链接：https://www.secrss.com/articles/42541 封面来源于网络，如有侵权请联系删除

在多个政府机构遭到Conti勒索组织的网络攻击后，哥斯达黎加总统罗德里戈·查韦斯（Rodrigo Chaves）宣布全国进入紧急状态。该国上一次宣布进入紧急状态，还是在2020年应对新冠肺炎肆虐的时候。 据国外媒体报道，Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容，其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响，2022年5月8日，哥斯达黎加查韦斯签署了该命令，也正是这一天，查韦斯刚刚当选为第49任总统。 查韦斯表示，“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击，被迫宣布国家紧急状态。我们正在签署这项法令，宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。” 哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示，正在加大力度对Conti勒索软件的进行边界安全审查，防止CSS机构因此遭受勒索攻击。 截至5月9日，Conti勒索组织已经在其网站上泄露了97%的数据，其中有大量从哥斯达黎加政府机构窃取的数据： 在本次勒索攻击中，最先遭受Conti勒索组织攻击的机构是财政部，截止到目前尚未完整评估出此次事件的影响范围，以及纳税人信息、支付信息和海关系统的影响程度。早些时候，Conti勒索组织曾向哥斯达黎加索要1000万美元赎金，但是被政府拒绝了。 受到Conti勒索组织攻击影响的部门包括： 财政部 科学、创新、技术与电信部 劳动与社会保障部 社会发展与家庭津贴基金 国家气象研究所 哥斯达黎加社会保障基金 阿拉胡埃拉市各大学主校 目前有安全专家已经对一小部分泄露数据进行初步分析，结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客，而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。 事实上，自4月18日以来，哥斯达黎加的政府程序、签名和邮票系统就已经被破坏，财政部的数字服务一直无法使用，这影响了整个“生产部门”。 查韦斯总统补充说：“我们签署了该法令，以便更好地保护自己，免受勒索组织攻击带来的伤害，这也是以此对国土的攻击。” 很难想象，一个国家会因为一个勒索组织的攻击就宣布进入紧急状态，同时也从侧面反映出Conti勒索组织是多么的丧心病狂，竟然敢公然挑衅政府部门，并对整个国家都造成了严重的影响。 目前，勒索攻击已经成为全球的威胁，无数国家和经济都有可能因此遭受巨大损失。对于Conti勒索组织的猖獗，美国也发布了高达1500万美元的巨额奖金，奖励那些提供关于Conti勒索组织领导层和运营商关键信息的人。 其中，1000万美元奖励给提供Conti勒索组织的攻击者身份和位置信息的人，另外500万美元则奖励给帮助警方逮捕的个人。 公开信息显示，Conti勒索组织发布了勒索即服务，与讲俄语的 Wizard Spider 网络犯罪组织（也以其他臭名昭著的恶意软件，包括 Ryuk、TrickBot 和 BazarLoader 等）存在关联性。 这已经不是该组织第一次入侵政府部门，此前他们还曾入侵爱尔兰卫生部 (DoH)，并索要2000万美元的赎金。2021年5月，FBI发出警告，Conti勒索组织正试图破坏美国十几个医疗保健和急救组织。 2021年8月，Conti勒索组织内部人员反水，泄露了其核心的培训材料、运营商的信息、部署各种恶意工具的手册等。但是经过几个月的时间，Conti勒索组织勒似乎并未因此元气大伤，而是继续发起各种网络攻击。 随着全球勒索攻击形势进一步加剧，我们也应该思考，如何建设好网络防护体系，并做好遭受勒索攻击之后的应急响应措施，以免因此而蒙受损失。 转自 Freebuf，原文链接：https://www.freebuf.com/news/332661.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月7日消息，为了能帮助识别和定位臭名昭著的勒索软件团伙 Conti 的主要核心人员及同谋，美国国务院开出了1500 万美元的高额赏金。 根据国务院发言人内德·普莱斯（Ned Price）发表的一份声明，截至 2022 年 1 月， Conti 已经攻击了 1000 多名受害者，所支付的赎金超过 1.5 亿美元，Conti及其相关组织已成为有史以来“最昂贵”的勒索软件 。 这次悬赏由美国国务院跨国有组织犯罪奖励计划 (TOCRP)提供，该计划自 1986 年以来已支付了超1.35亿美元的悬赏额。此次针对 Conti 的1500万美元，其中1000 万美元用于悬赏提供有关 Conti 领导层人员身份和位置的信息，另外500万美元则针对参与 Conti 犯罪活动的同谋人员。 Conti团伙以RaaS（勒索软件即服务）的形式运营，在过去一年中就已对多家企业和机构“下毒手”。 2021年5月，Conti攻击爱尔兰卫生服务执行局并窃取了700GB的敏感文件，开出的赎金达2000万美元；9月，攻击了日本跨国电子产品供应商JVCKenwood，窃取了1.5TB的数据并要求支付700万美元的赎金；10月，攻击了英国的高端珠宝商Graff，窃取了大量名人、政治家和国家元首的数据文件。而就在刚刚过去的2022年4月，Conti攻击了哥斯达黎加的政府系统，包括海关、财政、人力资源等多部门业务受到严重影响，并从中窃取了850GB的数据。 据多家网络安全公司的分析师称，Conti 现在正在通过各种关联组织经营各种副业，以维持其勒索软件的运营费用。但由于内部分赃不均，2021年8月，其中一个关联组织泄露了 Conti 的内部培训材料，包括部署各种恶意工具的手册，以及据称提供给该团伙关联组织的大量帮助文件。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332492.html 封面来源于网络，如有侵权请联系删除

一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件，然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据，但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为，如果他们不影响俄罗斯的利益，那么该国的执法部门将对攻击其他国家的行为视而不见。 然而，现在情况发生了变化，一个被称为NB65的黑客组织现在专门以俄罗斯组织为目标进行勒索软件攻击。 过去一个月，一个名为NB65的黑客组织一直在入侵俄罗斯实体，窃取他们的数据，并将其泄露到网上，并警告说这些攻击是由于俄罗斯入侵乌克兰。 据称被该黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor，俄罗斯航天局，以及国有的俄罗斯电视和广播公司VGTRK。 对VGTRK的攻击尤其重要，它导致了据称786.2GB的数据被盗，其中包括90万封电子邮件和4000个文件，这些数据被公布在DDoS Secrets网站上。 最近，NB65黑客转向了一种新的战术–自3月底以来以俄罗斯组织为目标进行勒索软件攻击。 更有趣的是，该黑客组织使用泄露的Conti勒索软件操作的源代码创建了他们定制版本的勒索软件，这些来自俄罗斯的网络安全威胁行为始作俑者通常禁止其成员攻击俄罗斯的实体。 Conti的源代码是在他们在攻击乌克兰的问题上与俄罗斯站在一起之后泄露的，一位安全研究员泄露了17万条内部聊天信息和他们行动的源代码。 BleepingComputer首先通过威胁分析师Tom Malka了解到NB65的攻击，但我们找不到勒索软件的样本，而且该黑客组织也不愿意分享它。 然而，这种情况在昨天发生了变化，NB65修改过的Conti勒索软件可执行文件的样本被上传到VirusTotal，让我们得以一窥它的运作方式。 几乎所有的杀毒软件供应商都将VirusTotal上的这个样本检测为Conti，Intezer Analyze还确定它使用的代码与通常的Conti勒索软件样本有66%相同。 BleepingComputer给NB65的勒索软件做了一个测试，当加密文件时，它会在被加密文件的名称后加上.NB65的扩展名。 该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信文本，威胁者将网络攻击归咎于总统弗拉基米尔·普京入侵乌克兰。 “我们正在密切关注。 你们的总统不应该犯下战争罪。”NB65勒索软件显示的说明中写道。 NB65黑客组织的一名代表表示，他们的加密器是基于第一个Conti源代码的泄漏，但因为改变了算法，所以现有的解密器将无法工作。 “它被修改后，所有版本的Conti解密器都无法工作。每次部署都会根据我们为每个目标改变的几个变量产生一个随机的密钥。如果不与我们联系，真的没有办法解密。” 目前，NB65还没有收到他们的受害者的任何通信，并告诉我们他们不期待任何通信。 至于NB65攻击俄罗斯组织的原因： “在布查屠杀事件后之后，我们选择了针对某些公司，这些公司可能看上去是服务于民用市场的，但仍然会对俄罗斯的正常运作能力产生影响。 俄罗斯民众对普京的战争罪行的支持是压倒性的。 从一开始我们就明确表示。 我们在支持乌克兰。 我们将兑现我们的承诺。 当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时，NB65将停止攻击俄罗斯互联网上的资产和公司。” “我们将不会攻击俄罗斯以外的任何目标。 像Conti和Sandworm这样的组织，以及其他俄罗斯APT多年来一直通过勒索软件、供应链攻击（Solarwinds或国防承包商）来打击西方。我们认为现在是他们自己处理这个问题的时候了。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1256653.htm 封面来源于网络，如有侵权请联系删除