Conti er navnet på en av de mest høyprofilerte hackergruppene den siste tiden, og de stod for eksempel nylig bak et angrep mot Costa Rica som førte til unntakstilstand i landet. I en noe uventet vri ser det imidlertid nå ut til at Conti-gjengen har lagt ned virksomheten sin – i alle fall i sin nåværende form.
Analytikere hos selskapet AdvIntel, som spesialiserer seg på forebygging og analyser av cybertrusler, opplyste på sine hjemmesider forrige uke at Conti-bakmennene har avviklet den interne infrastrukturen sin. Bleeping Computer er blant dem som har skrevet om saken.
Intern splid
Ifølge «eksklusiv etterretning» innhentet av AdvIntel har gruppen stengt tjenesten som ble brukt til å forhandle med ofrene, chatservere, og infrastrukturen som ble benyttet til å laste opp stjålne data for å presse ofre til å betale løsepengesummene.
Utad er Conti-gjengens offisielle blogg, Conti News, fremdeles oppe og går, men ifølge sikkerhetsselskapet er denne kun et «tomt skall» i sin nåværende form – da den underliggende funksjonaliteten for opplasting av data ikke lenger er i bruk.
En av årsakene til den tilsynelatende nedstengningen skal ifølge AdvIntel være intern konflikt blant medlemmene i Conti-gruppen, som først og fremst ble utløst da gruppen på sin offisielle blogg ga sin støtte til Russlands president Vladimir Putin i forbindelse med krigen i Ukraina.
Som Digi.no rapporterte, resulterte denne støtteerklæringen i at store mengder interne chat-samtaler mellom medlemmer av Conti-teamet ble lekket på nettet. Dataene inneholdt blant annet sensitiv informasjon, og flere eksperter mente at det var et medlem av gruppen som stod bak lekkasjen.
Kuttet inntektskilden
Sikkerhetsselskapet peker også på at støtteerklæringen førte til at Conti-gruppen ble assosiert med det russiske regimet. I praksis innebærer dette at gruppens utpressing av ofre i andre land i mange tilfeller vil være et brudd på de omfattende sanksjonene mot Russland og at utbetalingene dermed vil være «ulovlige».
– Som et resultat av disse begrensningene hadde Conti essensielt sett avskåret seg selv fra sin hovedinntektskilde. Vår etterretning viser at mange ofre var forhindret fra å betale løsepenger til Conti. Andre ofre og bedrifter som ville ha forhandlet om løsepengeutbetalinger, var mer villige til å risikere den økonomiske skaden ved ikke å betale enn å betale til en statssanksjonert entitet, skriver AdvIntel.
Fremdeles en trussel
Dessverre betyr ikke dette at trusselen er over. Ifølge sikkerhetsselskapet har avviklingen av Conti-aktiviteten i sin nåværende form vært under planlegging en tid allerede, og som et ledd i den videre strategien skal gruppen nå ha endret organisasjonsstrukturen til å bli mer «horisontal og desentralisert».
I praksis innebærer dette at gruppen vil bli delt opp i et nettverk av mindre underavdelinger som opererer med varierende grad av uavhengighet.
De mest selvstyrte av gruppene vil ifølge AdvIntel kun fokusere på datatyveri og ikke kryptering av filer, mens andre semi-autonome og Conti-lojale aktører vil fortsette med krypteringsaktiviteten. I tillegg vil noen deler av den opprinnelige Conti-gjengen slå seg sammen med andre eksisterende grupper, tyder sikkerhetsselskapets etterretning på.
Hvorvidt trusselen samlet sett blir mindre eller større med den nye omorganiseringen, gjenstår å se.
Løsepengeviruset Conti har blitt brukt i en rekke høyt profilerte og kostbare angrep den siste tiden. Her i Norge ble viruset brukt i angrepet på hotellkjeden Nordic Choice, hvor det slo ut datasystemene til mer enn 200 hoteller i til sammen fem land. Utpressingsviruset har tidligere også satt det irske helsevesenet ut av spill.
Myndigheter har satt store ressurser inn i kampen mot Conti. Tidligere denne måneden utlovet det amerikanske utenriksdepartementet en dusør på hele 10 millioner dollar for informasjon som kan lede til identifisering av sentrale medlemmer av Conti-gruppen.
Hackere bak beryktet løsepengevirus ga støtte til Putin – ble hardt straffet