Анализ более 40 чатов позволил специалистам получить представление о внутренней работе групп и методах ведения переговоров.
Conti и Hive - одни из самых популярных программ-вымогателей на ландшафте киберугроз, на их долю приходится 29,1% атак в течение периода с октября по декабрь 2021 года. После анализа четырехмесячных логов чатов между операторами вредоносов и их жертвами, специалисты получили много ценной информации о работе и методах групп.
"Conti и Hive быстро снижают требования по выкупу, несколько раз значительно уменьшая сумму во время переговоров",– говорится в отчете Cisco Talos. "Это опровергает распространенное мнение о незначительном переговорном потенциале жертв подобных атак".
Изучив логи чатов, эксперты заметили у групп яркий контраст в стилях общения с жертвами.
Conti использует методы убеждения и тактику тройного вымогательства, предупреждая жертву о репутационном ущербе и юридических проблемах, возникающих в результате утечки данных, угрожает нарушить доступ Интернет и/или поделиться украденной информацией с конкурентами и другими заинтересованными сторонами. Также группировка предлагает "ИТ-поддержку", отправляя жертве “отчет по безопасности”, в котором перечисляются шаги для защиты предприятия от повторной атаки. Еще одним отличительной чертой является гибкость Conti, когда речь идет о сроках оплаты. "Такое поведение позволяет считать хакеров Conti киберпреступниками-оппортунистами, предпочитающими получить хоть какую-то выплату, нежели не получить ничего", – сказал Кендалл Маккей, специалист компании Talos.
Hive, в свою очередь, предпочитает куда более короткий и прямой подход, быстро повышая требования по выкупу, если жертва не успевает произвести платеж к установленному сроку. Примечательно, что в процессе шифрования Hive уделяет больше внимания скорости, чем точности, из-за чего становится уязвимой к криптографическим ошибкам, позволяющим восстановить мастер-ключ. "Как и многие киберпреступники, Conti и Hive – оппортунисты, стремящиеся скомпрометировать жертву наиболее простым и быстрым способом, часто включающим использование известных уязвимостей", – сказал Маккей. "Действия таких группировок – напоминание всем организациям о необходимости внедрения надежной системы управления исправлениями и поддержании всех систем в актуальном состоянии".
Не так давно мы писали про дерзкие атаки Hive и Conti , рекомендуем вам ознакомиться с ними!
03-15-2025, 09:10 AM
Threaded Mode