„A zsarolóvírusokra szakosodott szervezet mindössze 2020-ban tűnt fel a színen, de a 2021-es internetes bűnözésről szóló jelentésében az FBI már mint az egyik legaktívabb és legveszélyesebb kiberbűnözői csoportként emlegette a Contit, amely amerikai vállalatok, többek között mezőgazdasági cégek, egészségügyi intézmények és rendfenntartó erők ellen is rendszeresen intéz támadásokat. Az orosz gyökerekkel rendelkező csoport rendkívül hatékonyan működik, a CNBC információi szerint két év alatt mintegy 2,7 milliárd dollárt zsákmányoltak kriptovaluták formájában.
Az ukrajnai háború kitörése után a Conti Group nyíltan kiállt Oroszország mellett, azzal fenyegetve az ország ellen kibertámadásokat intéző szervezeteket, hogy megbénítják az infrastruktúrájukat. Valószínűleg ez indította el azt a folyamatot, amelynek eredményeképpen nem sokkal később ismeretlen hackerek mintegy 60 ezer, a Contitól származó chatüzenetet hoztak nyilvánosságra, amelyek soha nem látott mélységben nyújtanak betekintést a szervezet működésébe.
Ami a belső levelezésekből tisztán kirajzolódik, hogy a zsarolásra fókuszáló csoport meglepően hasonlóan működik, mint bármilyen normális vállalat: a munkavállalóik egy része irodákban dolgozik, van kutatás-fejlesztési és HR-részlegük valamint pénzügyi osztályuk is. Noha az orosz kormány többször is tagadta, hogy kiberbűnözőket támogatnának, Lotem Finkelstein, a Check Point Software Technologies kiberbiztonsági vállalat biztonsági fenyegetések részlegének az igazgatója a napvilágra került információkkal kapcsolatban azt hangsúlyozta, hogy kizárt dolognak tartja, hogy egy ekkora cég elkerülhetné Moszkva figyelmét. „Egy ekkora méretű szervezet, amelynek fizikailag is vannak irodái és hatalmas bevételeket termel, nem lenne képes működni Oroszországban az orosz hírszerző szolgálatok jóváhagyása vagy akár valamiféle együttműködése nélkül” – nyilatkozta a CNBC-nek a szakértő.
A nyilvánosságra került dokumentumokból kiderül, hogy a Conti-csoport „keménymagja” 2021 nyarán mintegy 62 főt számlált, de vannak időszakok, amikor ennél jóval több alkalmazottat foglalkoztatnak. A Cyberint nevű kiberbiztonsági cég kutatója, Shmuel Gihon 350 főre saccolta az alkalmazottak létszámát, akik közül sokan feltehetőleg nincsenek is tisztában azzal, hogy milyen cégnek dolgoznak. Az egyik kiszivárgott üzenetváltásban az egyik felsővezető például azt mondta a jelentkezőnek, hogy a cég fő profilja olyan szoftverek készítése, amellyel a kiberbiztonsági szakemberek hajtanak végre próbatámadást kifejezetten a cégek kérésére, hogy így derítsék fel a hálózatuk sebezhetőségeit. Finkelstein szerint mások abban a hiszemben dolgoznak a Continak, hogy az egy hirdetéseket értékesítő vállalat.
Hogy a dolgozók elől hogyan tudják eltitkolni a szervezet valdói profilját, arra a Check Point Research mutatott rá, akik szerint a programozók például csak a szoftver egy kisebb részén dolgoznak, így nem feltétlenül tudják, hogy valójában mit is fejlesztenek. A levelezések alapján ha valaki mégis rájön, azt fizetésemeléssel igyekeznek megtartani. A Continál egyébként a fizetések is elég változóak, egy átlagos programozó 1500-2000 dollár (kábé 500-700 ezer forint) között keres havonta, míg a megzsarolt cégekkel tárgyaló alkalmazottak a bevételekből kaphatnak valamilyen részesedést, ami jellemzően 0,5-1% között mozog.
A hagyományos cégekhez hasonlóan a Continál is hónapról-hónapra megválasztják a hónap dolgozóját, aki a fizetése felét kapja meg bónuszként, de az alkalmazottak azzal is szert tehetnek extra bevételre, ha sikerül másokat is beszervezniük a céghez, és azok legalább egy hónapig maradnak.
Az üzenetekből az is kiderül ugyanakkor, hogy a Continál sem fenékig tejfel az élet, hiszen a vezetők büntetéseket is kiszabnak azokra a dolgozókra, akik nem teljesítenek megfelelően, például nem válaszolnak néhány órán belül egy üzenetre vagy nem hajlandóak hétvégén dolgozni. Ez viszont még mindig kisebb probléma ahhoz képest, hogy amit csinálnak, azt a törvény is szigorúan bünteti: amikor a szervezet egyik tagja egy üzenetváltásban arról lelkendezett a csoport egyik vezetőjének, hogy alig várja a külföldi utazását, a Mango álnevet használó főnöke arra figyelmeztette, hogy akár le is tartóztathatják. „Természetesen ez csak a te döntésed, de én a helyedben nem repülnék külföldre” – írta Mango, amire a beszélgetőpartnere visszakérdezett, hogy tényleg egész hátralevő életében Oroszországban kell-e ülnie.
A kiszivárgott dokumentumok arra is fényt derítettek, hogy bár a Conti több egészségügyi intézményt is megtámadott, ezek feltehetőleg egy tagnak az egyéni akciói voltak. A szervezet belső szabályzata ugyanis szigorúan tiltja, hogy bárki kórházakat vagy egészségügyi intézményeket zsaroljon meg, a Dollar álnevet használó alkalmazottat pedig emiatt szembesítették is azzal, hogy a tetteivel csorbát ejt a csoport hírnevén, és több problémát okoz, mint amennyi hasznot hoz a Continak.
A Check Point Research szerint a szervezetre a szivárogtatástól függetlenül is rájár a rúd, hiszen a csoport Stern álnéven ismert vezetője már január közepe óta nem jelentkezett, és a pénzek kifizetése is megakadt. A belső levelezések szerint az egyik vezető napokkal a szivárogtatás előtt azt kérte a dolgozóktól, hogy menjenek két-három hónap szabadságra, de szakértők szerint arra így is kevés az esély, hogy a Conti végleg eltűnjön a térképről.”
Forrás:
Így működik belülről egy zsarolóvírusokra szakosodott bűnszervezet; Bobák Áron; Rakéta.hu; 2022. április 20.