Válka na Ukrajině může mít dopad na celou řadu zdánlivě nesouvisejících oblastí. A to i na hackerské gangy. Nedávno svoji činnost například byla nucena ukončit skupina dosud velmi úspěšných ruských ransomwarových útočníků. Zločincům ve skupině známé jako Conti totiž utnuly jejich „podnikání“ uvalené mezinárodní sankce.
Organizace Conti se zformovala teprve před dvěma lety. Jako nástupce ransomwarové skupiny Ryuk od svého vzniku velmi usilovně a úspěšně škodila celé řadě organizací po celém světě. Při distribuci ransomwaru se přitom spoléhala na partnerství s dalšími „spolupracovníky“. Jejich malware TrickBot a BazarLoader byly počátečním bodem vstupu do světa kyberzločineckých subjektů. „Aktivity byly natolik úspěšné, že skupina se nakonec změnila v dobře organizovanou společnost. Na kontě mají řadu významných útoků zaměřených na různé subjekty – například americké město Tulsa, veřejné školy na Floridě, či výrobce čipů společnosti Advantech, nebo dokonce IT systémy irského ministerstva zdravotnictví,“ uvádí Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Napadené společnosti v celé řadě případů požadované výkupné dost často uhradily a doslova vsadily vše na to, že jim gang poskytne klíč k odšifrování jejich dat. Činily tak i přesto, že toto chování není odborníky na kyberbezpečnost doporučováno.
Posledním útokem Conti byl pokus o svržení vlády na Kostarice. Skupina zaútočila na počítače tamější vlády a žádala po ní výkupné. Kvůli tomuto kybernetickému útoku Kostarika dokonce vyhlásila nouzový stav. Jen v letošním roce si skupina údajně na výkupném měla vydělat kolem 3,6 miliardy korun. Přitom právě úhrada výkupného se jí podle dostupných zdrojů stala osudnou.
Přestože organizaci Conti tvořili členové z různých zemí, tak v posledních několika měsících dost nahlas projevovala své sympatie k Rusku a podpořila jeho vojenskou invazi na Ukrajině. I proto se stala terčem ostatních hackerů, včetně těch podporujících Ukrajinu. Výsledkem byly různé úniky interních komunikací či jiných citlivých informací z organizace. „Proto nutně muselo dojít ke změně. Ta se připravovala několik posledních týdnů,“ dokládá Martin Lohnert. Definitivní tečkou by paradoxně podle všeho mohly být uvalené mezinárodní sankce. Nemožnost vybírat výkupné od západních zemí totiž představovalo velký problém.
Přestože organizace Conti svoji činnost ukončila, neznamená to, že její členové přestali „pracovat“. Došlo k jejich rozdělení a spojení s menšími ransomwarovými gangy, jako je např. AvosLocker, HelloKitty, Hive, BlackCat či BlackByte. „Členové notoricky známého ransomwarového gangu, mimo jiné skládající se z analytiků, penetračních testerů, vývojářů a vyjednavačů, se tak rozptýlili do jiných různých kyberzločineckých skupin a jsou údajně stále součástí syndikátu Conti a zřejmě spadají pod stejné vedení. To jim může pomáhat vyhnout se sankcím, a přitom mohou i nadále provádět stejné kybernetické útoky, jako kdyby činili pod značkou Conti,“ dodává Martin Lohnert.
