Ransomwaregroep Conti is een van agressiefste aanvallers van de industrie. Tussen 2020 en 2022 maakte de groep meer dan 850 slachtoffers, waaronder grootbedrijven en overheden. Securitybedrijf Group-IB analyseert de werkwijze van Conti in een nieuw rapport.

Conti kwam in februari 2020 op de radar. Meerdere securityonderzoekers stuitten op ransomwarebestanden met .conti-extensies. De malware werkt zoals gebruikelijk: bestanden worden vergrendeld en slachtoffers moeten een bedrag overmaken om toegang te herstellen. De groep is allesbehalve gebruikelijk: Conti is een van agressiefste aanvallers van de industrie. De ransomwaregroep maakte meer dan 850 slachtoffers in een periode van twee jaar, waaronder acht Nederlandse woningcorporaties.

Twee jaar is relatief lang. Heel wat ransomwaregroepen worden na een paar maanden opgerold. De misdaadvorm is net zo lucratief als riskant. Een aanvaller moet zichzelf kenbaar maken om succesvol te zijn. Cryptominers kunnen maandenlang ongedetecteerd op de achtergrond draaien, maar die luxe heeft ransomware niet. Het verdienmodel draait om losgeld. Slachtoffers betalen pas wanneer zij ernst ervaren. Daarvoor moet een ransomwaregroep uit de schaduw stappen.

De leden van Conti staan al twee jaar in de schijnwerper zonder hun identiteit te onthullen. De groep wordt door meerdere autoriteiten en securitybedrijven onderzocht, waaronder Group-IB. Dit bedrijf ontwikkelt een extended detection and response-platform. Het platform beveiligt de omgevingen van organisaties. Informatie speelt een hoofdrol. Group-IB verzamelt data over aanvallers om hun methoden tegen te gaan. Als gevolg heeft het bedrijf een nauwkeurig beeld van ransomwaregroepen. Een nieuw rapport van Group-IB maakt duidelijk hoe Conti te werk gaat.

Conti

In sommige periodes valt de ransomwaregroep razendsnel aan. Tussen 17 november 2021 en 20 december 2021 maakte Conti 40 slachtoffers wereldwijd, van de VS tot Nederland en België. De groep werkt bijzonder gedisciplineerd. Volgens Group-IB zijn de leden waarschijnlijk in meerdere tijdzones actief. Via ploegdiensten werkt Conti veertien uur per dag, zonder vakanties, met uitzondering van de weekenden en nieuwjaar.

Naast grootbedrijven valt de ransomwaregroep overheden aan. In 2022 richtte Conti het vizier op de staat van Costa Rica. Als gevolg maakte de overheid een officiële crisissituatie bekend. De groep spreekt Russisch, maar valt geen Russische bedrijven aan. Dat is volgens Group-IB een ongeschreven regel onder Russische ransomwaregroepen.

De organisatie is professioneel. Conti werkt met een HR-, R&D en OSINT-afdeling. Teams hebben teamleiders, aan het hoofd staat een CEO en leden worden met salarissen vergoed. De CEO geeft opdrachten aan teams, net zoals in een legitieme organisatie. Technische groepsleden worden bijvoorbeeld verzocht om de veranderingen van Windows patches te analyseren.

“Conti’s toegenomen activiteit en datalekken suggereren dat ransomware niet langer een spel is tussen gemiddelde malware-ontwikkelaars, maar een illegale industrie die banen geeft aan duizenden cybercriminelen met verschillende specialisaties”, zegt Ivan Pisarev, hoofd van het Dynamic Malware Analysis Team bij de Threat Intelligence-afdeling van Group-IB.