Conti內部消息透露:員工認為自己在為一間合法的高科技公司工作

Conti內部消息透露:員工認為自己在為一間合法的高科技公司工作

检查研究(CPR)在分析洩露的文件後,發現了臭名昭著的俄羅斯勒索軟件集團孔蒂內部運作的細節。Conti的架構就像一間高科技公司，有清晰的管理，財務及人力資源分工。孔蒂的招募不僅從地下渠道，而且還會經由合法途徑進行，未經許可地從履歷庫中「借看」資料。Conti 的一些員工並不知道他們參與了網絡犯罪活動。CPR 還瞭解到，Conti 未來計劃建立加密貨幣交易平台和暗網社交網絡。

• 心肺复苏繪製了孔蒂的組織架構圖,發現了關鍵群組和人員,名為斯特恩,宾利,芒果,Buza等。
• Conti集團擁有多個實體辦公室，包括在俄羅斯。
• Conti的人力資源團隊提供每月獎金，罰款，每月最佳員工和表現評估。

检查研究(CPR)已獲得有關孔蒂勒索軟件集團內部運作的細節。孔蒂是一個勒索軟件即服務(老城)的集團,支援其附屬組織租用其基礎設施的存取權限來發動攻擊。行業專家表示，Conti總部位於俄羅斯，可能與俄羅斯情報部門有聯繫。孔蒂因針對數十間企業發動的勒索軟件攻擊而受到指責，包括服裝龍頭 Fat Face 和 Shutterfly以及愛爾蘭醫療服務和其他急救人員網絡等關鍵基礎設施。

今年2月27日,孔蒂的內部聊天記錄被一名所謂的內部人員洩露到網上,此人聲稱反對該集團支持俄羅斯入侵烏克蘭。CPR分析了洩露的檔案，發現此勒索軟件集團的營運方式猶如一間大型科技公司。Conti設有人力資源部門，招聘流程和線下辦公場所，並會支付薪酬和獎金。

Conti的內部營運細節

1. Conti的營運方式猶如一間科技公司
   • 分層級的定義架構

1. 向高級管理層報告的團隊主管。
2. 所知主要小組:人力資源,編碼員,測試人員,加密人員,系統管理員,反向工程師,攻擊團隊,OSINT專家及談判人員。

3心肺复苏术確定了主要的人員及其名字:斯特恩(大老闆),宾利(技術主管),芒果(常見問題經理),Buza(技術經理)、目标(負責編碼員及其產品的經理),贝隆又名死亡(該集團與Emotet開展業務合作的核心人物)。

1. • 在俄羅斯的實體辦公室工作

1. Conti集團擁有多個實體辦公室。這些均由船尾的合作夥伴兼得力的辦公室營運主管目标創立的,他還負責工資基金,辦公室技術設備,孔蒂招聘流程及人員培訓。2020年,線下辦公室主要由測試人員,攻擊團隊及談判人員使用;目标提到兩個專為直接與受害者代表對話的工作人員而設立的辦公室。
2. 2020年8月,為系統管理員和編碼員開設了另一個辦公室,由負責確保受害者感染的整個技術流程的“教授”管理。

1. • 薪酬：每月獎金、罰款、每月最佳員工、表現評估

1. 孔蒂談判團隊成員(包括OSINT專家)的佣金是按所獲贖金中抽取0.5%到1%不等的比例。編碼員和一些經理的薪酬以比特幣支付，每月轉帳一次或兩次。
2. 孔蒂員工不受當地勞工委員會保護,因此必須忍受一些典型科技員工無需容忍的做法,例如因表現不佳而被罰款。

3儘管罰款是編碼部門最常用的一種既有手段,但其他部門的經理也會在一時興起時偶爾使用,例如,在它和開發營運部門中,一名負責存款的人員因未按時付款而被罰款100美元。

1. 人才是從合法途徑和地下渠道招聘而來
   • Conti人力資源通常使用的主要招聘渠道是俄語獵頭服務平台，例如headhunter.ru。此外，他們還使用superjobs.ru等其他網站，但據說成效未如理想。孔蒂營運安全部門禁止在此類網站上留下開發人員職位空缺的痕跡，這一規定由該集團高層之一Stern嚴格執行。
   • 因此，在招聘開發人員時，Conti繞過了headhunter.ru招聘系統，直接存取履歷庫中的履歷通過電郵聯繫應徵者。你可能會想「為甚麼headhunter.ru會提供此類服務？」，答案是他們並沒有提供，Conti 是以未經許可的方式「借用」這些履歷，這似乎是網絡犯罪領域的慣例。

1. 有些Conti員工甚至不知道他們參與了網絡犯罪活動
   • 在一次網上求職面試中，一位經理告訴編碼團隊的應徵者：「這裡的一切都是匿名的，公司的主要方向是開發適用於滲透測試人員的軟件」。
   • 在另一個示例中,一名綽號為Zulas的小組成員很可能是使用Erlang程式設計語言開發了Trickbot後端的人員。Zulas熱衷於學習Erlang,渴望展示他其他作品的實例,甚至還提到了他的真名。當其經理提到他的“诡计”(Trickbot)項目被“半個世界”看到時,Zulas不太理解這個說法,他稱該系統為“lero並透露他不知道其軟件用途以及為何團隊要如此努力的保護成員身份。對話者告訴他，他正在為一個廣告分析系統開發後端。

1. Conti正在積極探討未來計畫:加密貨幣交易平台和暗網社交網絡
   • 其中一個設想是在集團自有生態系統中創建一個加密貨幣交易平台。
   • 另一個項目是“暗網社交網絡”(又名:“darknet VK”或“黑客炭黑”),這是一個受严厉啟發並由芒果執行的項目,計劃作為商業項目進行開發。2021年7月，康帝已經聯繫了一位設計師，後者製作了一些模型。

检查軟件技術公司威脅情報總監Lotem Finkelsteen表示:“我們第一次有了一扇玻璃門,可以看到一個被稱為勒索軟件代言人的集團運作。Conti的營運方式像一間高科技公司，我們看到數以百計的員工在一個層次分明的管理組織中工作。我們看到人力資源的作用，充斥著各種負責不同部門的人。令人震驚的是，我們有證據表明，並非所有的員工都完全知道他們是網絡犯罪集團的一部分。換句話說,孔蒂能夠從合法的途徑招募到專業人員,而這些員工卻認為他們是在為一間廣告公司工作,而實際上他們是在為一個臭名昭著的勒索軟件集團工作。其中一些員工發現了真相，但依舊決定留下來，這揭示了Conti管理團隊已經制定了留住員工的流程。我們清楚地看到，Conti已經形成了一種可發展利潤的內部文化，以及對員工的不良行為進行罰款。我們還看到，Conti在俄羅斯設有辦事處。我們的資料介紹了Conti的內部工作和文化的調查結果。」

附錄：
如欲了解完整的發現結果，請瀏覽：https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/
Conti的組織架構圖連結:https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html