Bahkan ketika operator Conti mengancam akan menggulingkan pemerintah Kosta Rika, geng kejahatan dunia maya yang terkenal secara resmi menurunkan infrastruktur mereka untuk memindahkan kegiatan kriminal mereka ke operasi tambahan lainnya, termasuk Karakurt dan BlackByte.
“Dari situs negosiasi, ruang obrolan, pengirim pesan ke server dan host proxy – merek Conti, bukan organisasi itu sendiri, ditutup,” kata peneliti AdvIntel Yelisey Bogusalvskiy dan Vitali Kremez dalam sebuah laporan. “Namun, ini tidak berarti bahwa para pelaku ancaman itu sendiri pensiun.”
Penghentian sukarela, dengan pengecualian blog nama-dan-malu, dikatakan telah terjadi pada 19 Mei 2022, sementara rejig organisasi terjadi secara bersamaan untuk memastikan kelancaran transisi anggota kelompok ransomware.
AdvIntel mengatakan Conti, yang juga dilacak di bawah moniker Gold Ulrick, mengatur kehancurannya sendiri dengan memanfaatkan teknik perang informasi.
Pembubaran ini juga mengikuti kesetiaan publik kelompok itu kepada Rusia dalam invasi negara itu ke Ukraina, memberikan pukulan besar bagi operasinya dan memprovokasi kebocoran ribuan log obrolan pribadi serta perangkatnya, menjadikannya “merek beracun.”
Tim Conti diyakini telah aktif membuat subdivisi selama dua bulan terakhir. Namun secara bersamaan, kelompok tersebut mulai mengambil langkah untuk mengendalikan narasi, mengirimkan “sinyal asap” dalam upaya untuk mensimulasikan gerakan kelompok yang aktif.
“Serangan di Kosta Rika memang membuat Conti menjadi sorotan dan membantu mereka mempertahankan ilusi hidup sedikit lebih lama, sementara restrukturisasi sebenarnya sedang berlangsung,” kata para peneliti.
“Satu-satunya tujuan yang ingin dicapai Conti dengan serangan terakhir ini adalah menggunakan platform sebagai alat publisitas, melakukan kematian mereka sendiri dan kelahiran kembali berikutnya dengan cara yang paling masuk akal yang bisa dibayangkan.”
Selain taktik pengalihan, spesialis infiltrasi Conti juga dikatakan telah menjalin aliansi dengan kelompok ransomware terkenal lainnya seperti BlackCat, AvosLocker, Hive, dan HelloKitty (alias FiveHands).
Selain itu, perusahaan keamanan siber mengatakan telah melihat komunikasi internal yang menyinggung fakta bahwa lembaga penegak hukum Rusia telah menekan Conti untuk menghentikan kegiatannya setelah meningkatnya pengawasan dan sifat serangan yang dilakukan oleh sindikat kriminal. .
Afiliasi Conti dengan Rusia juga memiliki konsekuensi lain yang tidak diinginkan, yang paling utama di antaranya adalah ketidakmampuannya untuk mengambil pembayaran tebusan dari para korban mengingat sanksi ekonomi berat yang dijatuhkan oleh Barat di negara itu.
Meskipun merek tersebut mungkin tidak ada lagi, grup tersebut telah mengadopsi apa yang disebut hierarki terdesentralisasi yang melibatkan banyak subkelompok dengan motivasi dan model bisnis yang berbeda mulai dari pencurian data (Karakurt, BlackBasta, dan BlackByte) hingga bekerja sebagai afiliasi independen.
Ini bukan pertama kalinya Gold Ulrick mengubah cara kerjanya. TrickBot, yang divisi elitnya Overdose melahirkan penciptaan Ryuk dan penerusnya Conti, sejak itu ditutup dan diserap ke dalam kolektif, mengubah TrickBot menjadi anak perusahaan Conti. Itu juga telah mengambil alih BazarLoader dan Emotet.
“Diversifikasi portofolio kriminal Conti yang dipasangkan dengan pembubarannya yang sangat cepat menimbulkan pertanyaan apakah model bisnis mereka akan terulang di antara kelompok lain,” catat AdvIntel pekan lalu.
“Ransomware Inc. tidak seperti geng yang sering mereka sebut dan lebih seperti kartel seiring berjalannya waktu,” kata Sam Curry, kepala petugas keamanan di Cybereason, dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Ini berarti perjanjian mitra, peran khusus, kelompok R&D dan pemasaran seperti bisnis, dan sebagainya. Dan karena Conti mulai mencerminkan jenis kegiatan yang kita lihat di antara perusahaan yang sah, tidak mengherankan jika mereka berubah.”