Conti凭借其超强的攻击和盈利能力，成为迄今为止最成功的勒索软件集团，经常向受害组织索取上百万美元的赎金。之所以能如此成功，是因为相比于其他勒索软件公司，Conti更聚焦于年收入1亿美元以上的公司。

图片来源：Chainalysis

同时，Conti自己也跻身于收入过亿这一群体。据虚拟货币追踪公司Chainalysis发布的最新《加密货币犯罪报告》称 ，Conti 去年的收入至少为1.8 亿美元。

Conti的成功不是偶然，作为一个犯罪集团，它也像一个发展中的企业一样，在管理与运营等各方面极尽所能，将杀伤力最大化。

攘外必先安内

勒索软件集团告诉你：安全验证很重要

2月27日，一名乌克兰网络安全研究员泄露了Conti近两年的内部聊天记录，聊天记录显示，这个规模在65人至100人的勒索软件集团每月花费数千美元预算，用于购买大量安全软件和杀毒软件。Conti对这些软件工具的搜寻使用，既是为了持续验证对各产品攻击的有效性，也是为了内部安全。

2021年8月8日的聊天记录显示，上级经理Reshaev 命令下属Pin每周暗中检查网络管理员的活动，在每个管理员的计算机上安装端点检测和响应 (EDR) 工具，以确保他们没有从事任何破坏集团运作的活动。

除了每周检查管理员在服务器上的活动、在每台计算机上安装 EDR（例如，Sentinel、Cylance、CrowdStrike）之外，Reshaev 还要求建立更复杂的存储系统、保护所有计算机上的 LSAS 堆栈、保证只有 1 个活跃账户、安全软件更新至最新版本，并在所有网络上安装防火墙。

Conti的管理者们非常清楚，他们的员工处理的是从公司窃取的极其敏感和宝贵的数据，这些信息会在地下网络犯罪论坛上热销。但在一家由骗子经营的公司里，信任来之不易。

“你一直在检查我，你不相信我吗？”一名中级成员Bio在处理大笔比特币转账赎金时，发现管理者Tramp正在监视他，对此Bio表示不满。

但Tramp却十分不屑：“从没见过这么多钱的人突然见到一笔巨款，你怎么可能完全信任他们？我在这干了15年，早就见怪不怪了。”

掌握信息就是掌握财富

利用开源情报，为信息付费

Conti在开源情报工具（OSINT）上投入了大量预算。例如，它订阅了许多服务，这些服务可以帮助确定某特定IP地址的使用者身份，或者确认某IP地址是否与已知的虚拟专用网络 (VPN) 服务相关联。Conti 平均每天可以访问数万台被黑的终端，这些OSINT服务则起到筛选作用，让Conti能聚焦于大型企业网络中的受感染系统。

Conti的开源情报活动还涉及商业服务，这些服务可以帮助Conti在与受害公司的赎金谈判中占据上风。Conti 经常将赎金要求设定为受害公司年收入的百分比，对于拒绝参与或谈判的公司，Conti则会骚扰其董事会成员和投资者。

2021年10月，Conti 的一名成员Bloodrush 告诉他的经理Bentley ，公司迫切需要订阅Crunchbase Pro和Zoominfo服务，因为这些服务能够提供数百万家公司的详细信息，包括一家公司持有的保险数额、最新的盈利预测、管理层和董事会成员的联系方式等。

在去年的一个长期项目中，Conti 投资6万美元购买了Cobalt Strike的使用许可，这是一种仅出售给经过审查的合作伙伴的商业网络渗透测试和侦察工具。网络犯罪团伙经常滥用被盗或非法获得的“Coba”许可证，从而能够在目标系统上安装勒索软件。这笔预算中，仅有3美元是Cobalt Strike 许可证的实际成本，而另一半则支付给了”代表”Conti 秘密购买许可证的合法公司。

同样，Conti 的人力资源部门每月也要花费数千美元用于订阅众多求职网站服务，Conti的HR将在这些网站中筛选潜在员工的简历。Conti人力资源专员Salamandra 在给任务主管Stern 的一份说明中解释了Conti在一个就业平台上的付费访问权限，并表示他们已经查看了该平台上25-30%的相关简历。

Conti 内部有专门的预算分配部门叫做“ Reversers”，负责在各类硬件、软件和云服务中发现和利用新的安全漏洞。2021年7月7日，Stern命令该部门员工 Kaktus开始将微软最新的操作系统Windows 11作为重点目标。

企业成功离不开合作伙伴

借助“第三方”，让赎金来得更顺利

Conti泄露的聊天记录包括多次内部审议，关于让不同的勒索软件受害公司支付多少赎金，Conti似乎已经向多个第三方寻求帮助。

总部位于密尔沃基的网络情报公司Hold Security3月初在Twitter上发布了一段对话的截图，其中一位Conti成员声称他们可以聘请一名记者，通过撰写文章向受害公司施加压力，要求他们支付赎金。

Conti 成员Alarm在 2021年3月30日的聊天记录显示，第三方记者可以收取 5% 的报酬。

还有一些第三方公司帮助受害公司支付虚拟货币赎金，Conti 团队与这些第三方“中介”公司的多名员工建立了良好的关系。一位谈判代表甚至在小组中拥有了自己的绰号——“西班牙人”，根据 Conti 中层经理Mango的说法，他是一名罗马尼亚人，任职于加拿大的一家“中介”公司。

Conti在与大型动力运动设备经销商LeMans Corp勒索谈判时，向对方索取100万美元的赎金。2021年10月7日的聊天显示，这位谈判代表示他的客户最多只能支付 200,000 美元，并敦促Conti重新考虑赎金的金额。

许多企业为自己投递了网络安全保险，以弥补勒索软件攻击可能带来的损失。日志表明Conti对这些受害公司的态度很矛盾：一方面，保险公司的支付限额限制了他们索要巨额赎金的能力；另一方面，投保的受害公司通常会在赔付谈判中速战速决。

抓住要害方能立于不败之地

“双重勒索”，让目标公司无路可退

Conti 是最早使用“双重勒索”的最佳实践者，即向受害公司收取双份赎金：一个是为了换取解锁受感染系统所需的数字密钥，另一个是为了确保任何被盗数据都将被销毁，不会被出版或出售。

Conti给到受害公司一个暗 网链接，页面中有一个倒数计时器。受害公司在计时器归零前如果没能协商付款，就会看到他们的内部数据自动发布在Conti的博客上。

双重勒索的绝妙之处在于，即使受害者拒绝付费获得密钥，他们也仍然可能会为了数据不外泄而付费。

总结

在不见硝烟的网络战争中，Conti无疑是常胜将军。此次Conti内部聊天记录的泄露，也让我们得以窥见这个强大的犯罪集团的成功要素。显而易见的是，Conti将人力物力充分投入到产品打磨、内部安全、目标分析、信息获取、合作伙伴、勒索谈判等各个环节中。

针对勒索软件集团可能采取的手段，企业应当时刻做好应对的准备。Conti作为勒索软件集团，通过收集市面上多种安全软件来验证其攻击的有效性，那么使用安全软件作为盔甲的企业，又如何验证自身防护的有效性呢？

塞讯验证作为国内领先的安全度量验证平台，利用真实自动化攻击剧本来持续验证安全防御有效性。塞讯安全实验室拥有业界顶尖的安全分析团队，为客户提供互联网中收集到的最新、最经典的APT攻击手法，全天候追踪互联网黑客组织和漏洞，利用得到的一手情报，第一时间还原攻击手法，为未受害的企业提供验证手段。

对于企业来说，塞讯验证既是攻击情报的来源，更是值得信赖的合作伙伴。我们帮助企业迈出知己知彼、运筹帷幄的第一步，让企业能够妥善应对、提前布局，为网络安全再筑一道防线！

| 参考来源：krebsonsecurity.com