- Сообщения
- 8.441
- Реакции
- 11.090
Среди всех цифровых преступных группировок XXI века особое место занимают Conti и Trickbot — организованные киберсети, действовавшие с конца 2010-х годов до середины 2020-х. Они не просто занимались кражами данных или распространением вредоносного ПО: они выстроили внутреннюю иерархию, использовали бизнес-модели, имели «HR-отделы», службу безопасности и собственные стандарты управления. Эти структуры стали символом нового типа ОПГ: кибермафии корпоративного толка.
Trickbot как предшественник 2016–2020: Trickbot(так же известные, как Wizard Spider, Trickbot, DEV-0193, UNC2053, и Periwinkle Tempest) возник в октябре 2016 года как банковский троян,
Conti: взрывной рост и структура
По утечке ContiLeaks (февраль–март 2022), организация имела чёткую многоуровневую структуру:
– Ядро (Core Team): от 28 до 35 человек, включая: – «Mango» (разработка шифраторов и крипто-библиотек); – «Target» (координация операций, логистика); – «Stern» (внутренний контроль качества, тестирование); – «Professor» (создание инструкций для фишинга);
– Аналитический блок: до 12 человек, включая OSINT-аналитиков и специалистов по пробивке баз данных;
– Внешний периметр (Outer Tier): свыше 100 фрилансеров по направлениям: – вербовка через Telegram и XSS-форумы; – перевод документации; – тестирование вредоносного ПО; – ведение поддельных «служб поддержки»;
– Командный центр: – VPN-серверы, хостинг в Нидерландах, Германии, Молдавии; – CRM-система на базе кода Jira + внутренние боты в Telegram; – собственный HelpDesk для «переговоров» с жертвами; – система багтрекинга и задач, похожая на Redmine.
Участники взаимодействовали по внутреннему графику: с 10:00 до 22:00 по московскому времени, с еженедельными сводками. Раз в две недели проводились внутренние «брифинги» — отчёт о ходе атак и распределении прибыли. Оплата разработчиков составляла от $2000 до $8000 в месяц, иногда с премиями в BTC, XMR или подарочными сертификатами. Все важные решения утверждались «советом» из 4–5 ключевых фигур, общавшихся через зашифрованные каналы и использовавших PGP. По внутренней политике, новички проходили «испытательный срок», во время которого их активность строго отслеживалась — от времени онлайна до качества кода и взаимодействия в чате. Оплата шла от $1 500 до $5 000 в месяц, топ-разработчики получали бонусы в криптовалюте; – Внутри группы была система наставничества и обучения новичков; – Использовались поддельные HR-опросы для вербовки новых членов через обычные сайты фриланса. По данным Chainalysis и Recorded Future, с 2020 по 2022 год Conti получила не менее $180 миллионов в виде выкупов. Среди жертв — медицинские учреждения Ирландии (Health Service Executive, 2021), сеть Costa Rica Ministry of Finance (2022), корпорации Canon, Advantech, Broward Schools. Особенность Conti — агрессивный подход: они публиковали компромат, вели открытую переписку с журналистами, устраивали демонстрации в даркнете. Всё это подкреплялось жёсткой дисциплиной: за утечки и «провалы» участники увольнялись, некоторые — шантажировались. Финансовые расчёты велись в BTC и XMR, с использованием собственных микшеров.
Распад и распыление: 2022–2023
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Trickbot как предшественник 2016–2020: Trickbot(так же известные, как Wizard Spider, Trickbot, DEV-0193, UNC2053, и Periwinkle Tempest) возник в октябре 2016 года как банковский троян,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
После арестов ряда операторов Dyre в 2015 году часть команды переключилась на разработку нового инструмента. Изначально Trickbot был ориентирован на перехват банковских логинов и передачу их через централизованные C2-серверы. Ключевыми фигурами в разработке инфраструктуры Trickbot назывались лица под псевдонимами Stern и Overdose, отвечавшие за командные сервера и обновления вредоносных модулей.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
и анализа Intel471,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Его функциональность со временем расширилась: к первоначальному трояну добавились: – кейлоггеры, – модули кражи cookie и автозаполнений, – системы lateral movement (перемещение внутри сети), – экспорт паролей из браузеров и Outlook, – внедрение в Active Directory. Trickbot использовался как основа для загрузки других вредоносных программ:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
При этом его структура уже в 2018 году представляла собой распределённую модель с ядром из 8–10 ключевых разработчиков, которых поддерживала сеть вспомогательных партнёров (фрилансеры, тестеры, дропперы). Группировка функционировала как мини-компания: по утечкам, опубликованным в 2022 году, они использовали Bitbucket и GitHub для хранения кода, Telegram и Jabber для внутренней связи. Финансовые потоки шли через BTC-кошельки, затем обналичивались через миксеры и сервисы на базе Hydra. Trickbot был активен вплоть до конца 2021 года, когда началась координированная международная операция (в том числе со стороны Microsoft, FS-ISAC и NTT), приведшая к блокировке ряда серверов. Однако к тому моменту ключевые члены уже вошли в состав новой структуры — Conti, унаследовав инфраструктуру, шифраторы и CRM.Conti: взрывной рост и структура
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
появилась в феврале–марте 2020 года как высокоорганизованная команда, выделившаяся из структуры Trickbot. Уже в апреле были зафиксированы первые зашифрованные сети и вымогательства в США и Западной Европе.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Руководство называлось «старшими операторами» и фактически выполняло функции СЕО, CTO и HR. Причиной утечки ContiLeaks, случившейся в феврале 2022 года, стало политическое заявление группировки в поддержку российского вторжения в Украину. После публикации соответствующего поста на внутреннем даркнет-сайте группы, один из участников с украинской стороны, работавший под ником «Фантом» (или «Ukrainian insider»), решил выложить в открытый доступ переписку, внутренние инструкции, криптокошельки и даже переписку с жертвами. В течение нескольких недель он опубликовал более 60 000 строк внутренних чатов, десятки документов, криптографический код шифраторов и финансовую аналитику. Эта утечка стала крупнейшей в истории киберпреступных групп и нанесла репутационный и структурный удар по Conti: вскрылась не только внутренняя организация, но и реальные лица, финансовые схемы, взаимоотношения между участниками. Некоторые исследователи считают, что до 30% активной инфраструктуры было ликвидировано или покинуто в течение месяца после публикации утечек.По утечке ContiLeaks (февраль–март 2022), организация имела чёткую многоуровневую структуру:
– Ядро (Core Team): от 28 до 35 человек, включая: – «Mango» (разработка шифраторов и крипто-библиотек); – «Target» (координация операций, логистика); – «Stern» (внутренний контроль качества, тестирование); – «Professor» (создание инструкций для фишинга);
– Аналитический блок: до 12 человек, включая OSINT-аналитиков и специалистов по пробивке баз данных;
– Внешний периметр (Outer Tier): свыше 100 фрилансеров по направлениям: – вербовка через Telegram и XSS-форумы; – перевод документации; – тестирование вредоносного ПО; – ведение поддельных «служб поддержки»;
– Командный центр: – VPN-серверы, хостинг в Нидерландах, Германии, Молдавии; – CRM-система на базе кода Jira + внутренние боты в Telegram; – собственный HelpDesk для «переговоров» с жертвами; – система багтрекинга и задач, похожая на Redmine.
Участники взаимодействовали по внутреннему графику: с 10:00 до 22:00 по московскому времени, с еженедельными сводками. Раз в две недели проводились внутренние «брифинги» — отчёт о ходе атак и распределении прибыли. Оплата разработчиков составляла от $2000 до $8000 в месяц, иногда с премиями в BTC, XMR или подарочными сертификатами. Все важные решения утверждались «советом» из 4–5 ключевых фигур, общавшихся через зашифрованные каналы и использовавших PGP. По внутренней политике, новички проходили «испытательный срок», во время которого их активность строго отслеживалась — от времени онлайна до качества кода и взаимодействия в чате. Оплата шла от $1 500 до $5 000 в месяц, топ-разработчики получали бонусы в криптовалюте; – Внутри группы была система наставничества и обучения новичков; – Использовались поддельные HR-опросы для вербовки новых членов через обычные сайты фриланса. По данным Chainalysis и Recorded Future, с 2020 по 2022 год Conti получила не менее $180 миллионов в виде выкупов. Среди жертв — медицинские учреждения Ирландии (Health Service Executive, 2021), сеть Costa Rica Ministry of Finance (2022), корпорации Canon, Advantech, Broward Schools. Особенность Conti — агрессивный подход: они публиковали компромат, вели открытую переписку с журналистами, устраивали демонстрации в даркнете. Всё это подкреплялось жёсткой дисциплиной: за утечки и «провалы» участники увольнялись, некоторые — шантажировались. Финансовые расчёты велись в BTC и XMR, с использованием собственных микшеров.
Распад и распыление: 2022–2023
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Некоторые участники ушли в проекты Royal и Black Basta, другие перешли на индивидуальные схемы. В отчётах Google Mandiant и Group-IB за 2023 год отмечено: инфраструктура Conti частично перешла к новому бренду Quantum. Но уже без той централизованности и дисциплины. Опыт Conti стал прецедентом: впервые кибергруппа функционировала как настоящая корпорация — с отделами, коммуникациями, финансовой отчетностью и идеологией. Её моделируют в университетах, изучают как кейс в контексте цифровой преступности и даже корпоративной культуры. Conti и Trickbot доказали, что киберОПГ будущего — это не спонтанные хакеры, а интегрированные структуры, способные конкурировать с реальным бизнесом по уровню организации. Их эволюция — предупреждение для государств, компаний и пользователей: в цифровую эпоху организованная преступность становится невидимой, распределённой и масштабируемой.Эта статья была создана с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
В нашем пространстве вы найдете много интересного и познавательного,
так же просто общение.
→
Telegram:
В нашем пространстве вы найдете много интересного и познавательного,
так же просто общение.
→
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
←
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Telegram:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
