Den ryska gruppen Conti beskrivs som en av de mest framstående aktörerna inom ransomware-attacker, där man kidnappar information och idkar utpressning.
Shmuel Gihon, expert vid säkerhetsbolaget Cyberhint, säger till CNBC att Conti har runt 350 medlemmar som sammanlagt samlat på sig 2,6 miljarder dollar i kryptovalutor under de två år som gruppen existerat.
I en rapport över cyberbrott 2021 skriver FBI att Conti var en av de tre främsta aktörerna som attackerade USA:s kritiska infrastruktur under året. Contis specialområden var enligt rapporten kritisk tillverkningsindustri, kommersiella anläggningar och livsmedels- och jordbrukssektorer.
”Det var den hittills mest framgångsrika gruppen fram till nu”, kommenterar Shmuel Gihon till CNBC.
För nu får Conti smaka på egen medicin, men någon chans till förhandling med lösensumma verkar inte finnas på tapeten för läckan. Här avslöjas gruppens storlek, ledare och affärsstruktur och det viktigaste av allt: källkoden till kidnappningsprogrammet.
Anledningen till läckan verkar enligt säkerhetsbolaget Cyberhint vara invasionen av Ukraina. Den 28 februari skickade Conti ut ett meddelande där gruppen meddelande sitt stöd för Ryssland. Man varnade även att alla som planerade it-attacker mot Ryssland kunde vänta sig moteld.
Strax efter öppnades twitter-kontot ”Contileaks” upp, där tusentals av gruppens interna meddelanden öppnades upp för allmän beskådan. Den 30 mars fick nyhetskanalen CNN en intervju med skaparen, en ukrainsk it-specialist. I och med det skickades det sista meddelandet ut på Twitter.
Flera säkerhetsbolag, däribland Cyberint och Check Point, har nu analyserat informationen. På många sätt liknar Conti vilket techbolag som helst. Här finns tydliga funktioner inom ledning, personalärenden och ekonomi, och en klassisk hierarki där gruppledare rapporterar till ledningen.
Här finns bonusprogram baserade på prestation och rekryteringar, en ”månadens anställd”-tävling och utbildningsmöjligheter. Till skillnad från vanliga techbolag blir de anställda dock bötfällda om de inte lever upp till kraven.
Conti verkar ha fysiska kontor i Ryssland, vilket enligt Check Point kan innebära att det finns kopplingar till landets regering.
”Vårt antagande är att en sådan stor organisation, med fysiska kontor och enorma intäkter, inte skulle kunna bedriva sin verksamhet i Ryssland utan fullt godkännande, eller kanske till och med samarbete, med underrättelsetjänsten”, säger Lotem Finkelstein, säkerhetsbolagets chef över cyberhotsbevakning.
CNBC har kontaktat den ryska ambassaden i Storbritannien, som dock inte svarat på ärendet.
Enligt Check Point visade Conti tecken på oro redan innan läckan var ute. Bolagets överhuvud med kodnamnet Stern tystnade redan i mitten av januari, då även löneutbetalningarna stoppades.
Dagen innan läckan släpptes ett internt meddelande som flaggade för att någonting var i görningen.
”Det har skett flera läckor, det har skett arresteringar. Det finns ingen chef, det finns ingen klarhet... Det finns inga pengar heller... Jag måste be er att ta 2-3 månader ledigt”, löd meddelandet till hackarna.
Men Conti kommer med all säkerhet komma till liv igen, befarar Check Point. Till skillnad från konkurrenten Reevil, vars medlemmar greps av ryska myndigheter i januari i år, så är Conti fortfarande ”delvis” öppet, enligt Conti själva.
Gruppen har överlevt tidigare prövningar – under 2021 sprängdes till exempel ligan bakom virusprogrammet Trickbot, som Conti använde sig av.
Check Point får medhåll från FBI, som spår att attackerna kommer öka under 2022.
Läs mer: Ny rapport: Microsoft är hackarnas favorit
