Conti 內部消息透露：員工認為自己在為一間合法的高科技公司工作

Conti 內部消息透露：員工認為自己在為一間合法的高科技公司工作

Check Point Research (CPR) 在分析洩露的文件後，發現了臭名昭著的俄羅斯勒索軟件集團 Conti 內部運作的細節。Conti 的架構就像一間高科技公司，有清晰的管理、財務及人力資源分工。Conti 的招募不僅從地下渠道，而且還會經由合法途徑進行，未經許可地從履歷庫中「借看」資料。Conti 的一些員工並不知道他們參與了網絡犯罪活動。CPR 還瞭解到，Conti 未來計劃建立加密貨幣交易平台和暗網社交網絡。

• CPR 繪製了 Conti 的組織架構圖，發現了關鍵群組和人員，名為 Stern、Bentley、Mango、Buza 等。
• Conti 集團擁有多個實體辦公室，包括在俄羅斯。
• Conti 的人力資源團隊提供每月獎金、罰款、每月最佳員工和表現評估。

Check Point Research (CPR) 已獲得有關 Conti 勒索軟件集團內部運作的細節。Conti 是一個勒索軟件即服務 (RaaS) 的集團，支援其附屬組織租用其基礎設施的存取權限來發動攻擊。行業專家表示，Conti 總部位於俄羅斯，可能與俄羅斯情報部門有聯繫。Conti 因針對數十間企業發動的勒索軟件攻擊而受到指責，包括服裝龍頭 Fat Face 和 Shutterfly以及愛爾蘭醫療服務和其他急救人員網絡等關鍵基礎設施。

今年 2 月 27 日，Conti 的內部聊天記錄被一名所謂的內部人員洩露到網上，此人聲稱反對該集團支持俄羅斯入侵烏克蘭。CPR 分析了洩露的檔案，發現此勒索軟件集團的營運方式猶如一間大型科技公司。Conti 設有人力資源部門、招聘流程和線下辦公場所，並會支付薪酬和獎金。

Conti 的內部營運細節

1. Conti 的營運方式猶如一間科技公司
   • 分層級的定義架構

1.       向高級管理層報告的團隊主管。
2.       所知主要小組：人力資源、編碼員、測試人員、加密人員、系統管理員、反向工程師、攻擊團隊、OSINT 專家及談判人員。

                                    iii.     CPR 確定了主要的人員及其名字：Stern（大老闆）、Bentley（技術主管）、Mango（常見問題經理）、Buza（技術經理）、Target（負責編碼員及其產品的經理）、Veron又名 Mors（該集團與 Emotet 開展業務合作的核心人物）。

1. • 在俄羅斯的實體辦公室工作

1.       Conti集團擁有多個實體辦公室。這些均由 Stern 的合作夥伴兼得力的辦公室營運主管Target創立的，他還負責工資基金、辦公室技術設備、Conti 招聘流程及人員培訓。2020 年，線下辦公室主要由測試人員、攻擊團隊及談判人員使用；Target 提到兩個專為直接與受害者代表對話的工作人員而設立的辦公室。
2.       2020 年 8 月，為系統管理員和編碼員開設了另一個辦公室，由負責確保受害者感染的整個技術流程的「Professor」管理。

1. • 薪酬：每月獎金、罰款、每月最佳員工、表現評估

1.       Conti 談判團隊成員（包括 OSINT 專家）的佣金是按所獲贖金中抽取0.5% 到 1% 不等的比例。編碼員和一些經理的薪酬以比特幣支付，每月轉帳一次或兩次。
2.       Conti 員工不受當地勞工委員會保護，因此必須忍受一些典型科技員工無需容忍的做法，例如因表現不佳而被罰款。

                                    iii.     儘管罰款是編碼部門最常用的一種既有手段，但其他部門的經理也會在一時興起時偶爾使用，例如，在 IT 和開發營運部門中，一名負責存款的人員因未按時付款而被罰款 100 美元。

1. 人才是從合法途徑和地下渠道招聘而來
   • Conti 人力資源通常使用的主要招聘渠道是俄語獵頭服務平台，例如 headhunter.ru。此外，他們還使用 superjobs.ru 等其他網站，但據說成效未如理想。Conti營運安全部門禁止在此類網站上留下開發人員職位空缺的痕跡，這一規定由該集團高層之一Stern嚴格執行。
   • 因此，在招聘開發人員時，Conti 繞過了 headhunter.ru 招聘系統，直接存取履歷庫中的履歷通過電郵聯繫應徵者。你可能會想「為甚麼 headhunter.ru 會提供此類服務？」，答案是他們並沒有提供，Conti 是以未經許可的方式「借用」這些履歷，這似乎是網絡犯罪領域的慣例。

1. 有些 Conti 員工甚至不知道他們參與了網絡犯罪活動
   • 在一次網上求職面試中，一位經理告訴編碼團隊的應徵者：「這裡的一切都是匿名的，公司的主要方向是開發適用於滲透測試人員的軟件」。
   • 在另一個示例中，一名綽號為Zulas的小組成員很可能是使用 Erlang 程式設計語言開發了 Trickbot 後端的人員。Zulas 熱衷於學習 Erlang，渴望展示他其他作品的實例，甚至還提到了他的真名。當其經理提到他的「trick」(Trickbot) 項目被「半個世界」看到時，Zulas 不太理解這個說法，他稱該系統為「lero」，並透露他不知道其軟件用途以及為何團隊要如此努力的保護成員身份。對話者告訴他，他正在為一個廣告分析系統開發後端。

1. Conti 正在積極探討未來計畫：加密貨幣交易平台和暗網社交網絡
   • 其中一個設想是在集團自有生態系統中創建一個加密貨幣交易平台。
   • 另一個項目是「暗網社交網絡」（又名：「VK for darknet」或「Carbon Black for hackers」），這是一個受 Stern 啟發並由 Mango 執行的項目，計劃作為商業項目進行開發。2021 年 7 月，Conti 已經聯繫了一位設計師，後者製作了一些模型。

Check Point軟件技術公司威脅情報總監Lotem Finkelsteen表示：「我們第一次有了一扇玻璃門，可以看到一個被稱為勒索軟件代言人的集團運作。Conti的營運方式像一間高科技公司，我們看到數以百計的員工在一個層次分明的管理組織中工作。我們看到人力資源的作用，充斥著各種負責不同部門的人。令人震驚的是，我們有證據表明，並非所有的員工都完全知道他們是網絡犯罪集團的一部分。換句話說，Conti能夠從合法的途徑招募到專業人員，而這些員工卻認為他們是在為一間廣告公司工作，而實際上他們是在為一個臭名昭著的勒索軟件集團工作。其中一些員工發現了真相，但依舊決定留下來，這揭示了Conti管理團隊已經制定了留住員工的流程。我們清楚地看到，Conti已經形成了一種可發展利潤的內部文化，以及對員工的不良行為進行罰款。我們還看到，Conti在俄羅斯設有辦事處。我們的資料介紹了Conti的內部工作和文化的調查結果。」

附錄：
如欲了解完整的發現結果，請瀏覽：https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/
Conti 的組織架構圖連結：https://research.checkpoint.com/wp-content/uploads/2022/03/map_index_v2.html