Специализирующаяся на кибербезопасности компания Group-IB поделилась интересной статистикой, собранной по деятельности русскоговорящей группы хакеров-вымогателей Conti.
По словам экспертов, сейчас это одна из самых агрессивных и успешных группировок — в списке её целей за два года набралось более 850 жертв — международные корпорации, госведомства и даже целое государство Коста-Рика, где после атаки ввели чрезвычайное положение.
В послужном списке Conti, например, одна из самых быстрых и успешных кампаний ARMattack. В её рамках чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня.
При этом Conti активно использует технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на собственном сайте DLS (Dedicated Leak Site) информацию компаний-жертв, отказавшихся платить выкуп. С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. За два года их накопилось уже 850.
Интересно, что Conti называют себя «патриотами» — они не работают по домену «Ру», их целями чаще всего становятся США (58,4%), Канада (7%), Англия (6,6%), Германия (5,8%).
Кроме того, Group-IB впервые проанализировала «рабочие часы» Conti: в среднем вымогатели работают с 12:00 до 21:00 по московскому времени, по 14 часов в день, 7 дней в неделю, но у них есть каникулы. Могут себе позволить: на их Bitcoin-кошельках суммарно хранится свыше 65 000 биткойнов.
Эксперты также отмечают, что фактически Conti — это полноценная криминальная IT-компания, у которой есть свои отделы кадров, разработки и исследований, разведки по открытым источникам, а ещё это ведущие разработчики, регулярная выплата заработных плат, система мотивации и отпуска.