专家揭露了康蒂勒索软件集团的秘密，该集团从受害者那里获得了2500万美元

康蒂勒索软件集团运营的clearnet和dark web支付门户网站已经关闭，这似乎是在该团伙内部运作及其成员的细节被公开后，试图转向新的基础设施

根据MalWarehuntertam的说法，“虽然Conti勒索软件团伙泄密网站的clearweb和Tor域都在线并工作，但支付网站的clearweb和Tor域（显然比泄密更重要）都已关闭。”

目前尚不清楚是什么原因导致了关闭，但这一发展之际，瑞士网络安全公司PRODAFT对该集团的勒索软件即服务（RaaS）模式进行了前所未有的研究，开发商将其勒索软件技术出售或租赁给从darknet论坛聘请的附属公司，然后，他们代表自己发动袭击，同时还从受害者那里勒索了约70%的赎金

结果如何？到目前为止，已经确定了Conti团队的三名成员，他们分别担任管理员（“东京”）、助理（“it_工作”）_support@xmpp[.]jp”）和招聘人员（“IT_工作”）来吸引新的附属公司加入他们的网络

#虽然勒索软件攻击通过加密受害者的敏感信息并使其无法访问而起作用，威胁行为人越来越多地采取双管齐下的策略，称为双重勒索，要求为解密数据支付赎金，并威胁如果在特定期限内未收到付款，将公开发布被盗信息

“Conti客户–；附属威胁参与者–；使用[数字]管理面板创建新的勒索软件样本，管理受害者，并收集攻击数据，”研究人员指出，详细说明了该集团利用Print噩梦（CVE-2021-1675、CVE-2021-34527和CVE-2021-36958）和FortiGate（CVE-2018-13374和CVE-2018-13379）漏洞破坏未修补系统的攻击-杀伤链

2019年10月，Conti出现在网络犯罪领域，据信是一个名为Wizard Spider的俄罗斯威胁组织的工作，该组织也是臭名昭著的TrickBot银行恶意软件的运营商。从那时起，至少有567家不同的公司已经将他们的商业关键数据暴露在受害者羞耻的网站上，而赎金卡特尔自2021年7月以来收到超过500比特币（2550万美元）的付款。

此外，对勒索软件样本和用于接收付款的比特币钱包地址的分析揭示了Conti和Ryuk之间的联系，两家都严重依赖TrickBot、Emotet、，以及BazarLoader，通过电子邮件钓鱼和其他社会工程方案，将文件加密有效载荷实际发送到受害者的网络上

PRODAFT表示，它还能够访问该集团的恢复服务和一个作为Tor隐藏服务托管在洋葱域名上的管理管理面板，并披露了一个名为“contirecovery[.”的clearnet网站的详细信息有趣的是，Cymru团队上个月发布的一项对康蒂勒索软件协商过程的调查也强调了一个类似的开放式网址，名为“contirecovery[。]信息。"

“为了应对破坏网络犯罪组织的复杂挑战，公共和私人力量需要相互合作，以更好地理解和减轻威胁带来的更广泛的法律和商业影响，”研究人员说

更新：康蒂勒索软件的支付门户在响应一份确定其一个恢复（又称支付）服务器的真实IP地址的报告而首次关闭超过24小时后；217.12.204[.]135&mdash；从而有效地加强了其安全措施

“看起来欧洲人也决定放弃他们的礼仪，完全干掉我们的系统，”该团伙在他们的博客上发布的一份声明中说，这有效地证实了PRODAFT的发现，但将细节描述为“纯粹的虚假信息”，并且“我们‘自7月以来’报道的25kk是直接的BS——我们至少获得了约300kk。”