Η Google λέει ότι ορισμένα πρώην μέλη της ομάδας Conti τα οποία είναι πλέον μέλη της ομάδας UAC-0098, στοχεύουν οργανώσεις της Ουκρανίας και ευρωπαϊκές μη κυβερνητικές οργανώσεις (ΜΚΟ).
Δείτε επίσης: Η Cisco δεν θα διορθώσει ευπάθεια που βρέθηκε σε routers EoL
Η ομάδα UAC-0098 είναι ένας λεγόμενος initial access broker γνωστός για τη χρήση του banking trojan IcedID για την παροχή πρόσβασης σε ομάδες ransomware σε παραβιασμένα συστήματα εντός των εταιρικών δικτύων.
Δείτε επίσης: Η νέα ομάδα APT42 αναπτύσσει προσαρμοσμένο Android spyware
Το Threat Analysis Group (TAG) της εταιρείας, μια ειδική ομάδα ειδικών σε θέματα ασφάλειας, άρχισε να παρακολουθεί αυτήν την ομάδα απειλών τον Απρίλιο, αφού εντόπισε μια καμπάνια phishing που ώθησε το backdoor AnchorMail που συνδέεται με την ομάδα Conti.
Οι επιθέσεις αυτής της ομάδας παρατηρήθηκαν από τα μέσα Απριλίου έως τα μέσα Ιουνίου, με συχνές αλλαγές στις τακτικές, τις τεχνικές και τις διαδικασίες της (TTPs), τα εργαλεία και τα θέλγητρά της, ενώ στοχεύουν οργανώσεις της Ουκρανίας (όπως αλυσίδες ξενοδοχείων) και υποδύονται την Εθνική Αστυνομία Κυβερνοχώρου της Ουκρανίας ή ότι είναι εκπρόσωποι του Elon Musk.
Σε επόμενες εκστρατείες, η ομάδα UAC-0098 εμφανίστηκε να παραδίδει κακόβουλα payloads IcedID και Cobalt Strike σε επιθέσεις phishing που στοχεύουν ουκρανικούς οργανισμούς και ευρωπαϊκές ΜΚΟ.
Σύνδεσμοι με την ομάδα hacking Conti
“Το TAG αξιολογεί ότι ορισμένα μέλη της UAC-0098 είναι πρώην μέλη της ομάδας Conti για το έγκλημα στον κυβερνοχώρο που επαναχρησιμοποίησαν τις τεχνικές τους για να στοχεύσουν την Ουκρανία“, είπε η Google TAG.
“Το TAG αξιολογεί ότι το UAC-0098 λειτούργησε ως initial access broker για διάφορες ομάδες ransomware, συμπεριλαμβανομένων των Quantum και Conti.”
Δείτε επίσης: HP: Διορθώνει bug στο προεγκατεστημένο Support Assistant tool
Οι δραστηριότητες της ομάδας απειλών που εντοπίστηκαν και αποκαλύφθηκαν σήμερα από την Google συμπίπτουν με προηγούμενες αναφορές της IBM Security X-Force και της CERT-UA, οι οποίες συνέδεσαν επιθέσεις σε ουκρανικούς οργανισμούς και κυβερνητικές οντότητες με τις συμμορίες εγκλήματος στον κυβερνοχώρο TrickBot και Conti.
Η ομάδα Conti συνεχίζει να βρίσκεται εδώ τριγύρω
Η ομάδα Conti όπως σας έχουμε ενημερώσει και στο παρελθόν “έκλεισε” δηλαδή το brand Conti δεν υφίσταται. Βέβαια, η ομάδα φαίνεται συνεχίζει να λειτουργεί με διαφορετικό τρόπο. Τα μέλη της πρώην ομάδας, έχουν ταχθεί στο πλεύρο άλλων ομάδων.
Ορισμένες συμμορίες ransomware στις οποίες έχουν ενσωματωθεί μέλη της ομάδας Conti είναι οι BlackCat, Hive, AvosLocker, Hello Kitty και Quantum.
Άλλα μέλη της Conti εκτελούν τώρα τις δικές τους επιχειρήσεις εκβίασης δεδομένων που δεν κρυπτογραφούν δεδομένα, όπως οι BlackByte, Karakurt και Bazarcall.
Πηγή πληροφοριών: bleepingcomputer.com
