Специализирующаяся на кибербезопасности компания Group-IB, поделилась интересной статистикой, собранной по деятельности русскоговорящей группы хакеров-вымогателей Conti.

По словам экспертов, сейчас это одна из самых агрессивных и успешных группировок — в списке ее целей за два года набралось более 850 жертв — международные корпорации, госведомства и даже целое государство Коста-Рика, где после атаки ввели чрезвычайное положение. 

В послужном списке Conti, например — одна из одну из самых быстрых и успешных кампаний ARMattack. В её рамках чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня. 

При этом Conti активно использует технику double extortion — двойного давления на жертву: кроме вымогательства за расшифровку данных злоумышленники выкладывают на собственном сайте DLS (Dedicated Leak Site) информацию компаний-жертв, отказавшихся платить выкуп. С начала 2022 года Conti опубликовали данные 156 компаний, атакованных группой. За два года их накопилось уже 850. 

Интересно, что Conti называют себя «патриотами», они не работают по домену «Ру», их целями чаще всего становятся США (58,4%), Канада (7%), Англия (6,6%), Германия (5,8%). 

Кроме того, Group-IB впервые проанализировала «рабочие часы» Conti: в среднем,  вымогатели работают  с 12:00 до 21:00 по московскому времени, по 14 часов в день 7 дней в неделю, но у них есть каникулы. Могут себе позволить: на их  Bitcoin-кошельках суммарно хранится свыше 65 000 биткойнов. 

Эксперты также отмечают, что фактически Conti — это полноценная криминальная IT-компания, у которой есть свои отделы кадров, разработки и исследований, разведки по открытым источникам, а также ведущие разработчики, регулярная выплата заработных плат, система мотивации и отпуска.