Когда внимание к группе утихнет, её участники могут создать новую
Через 2 месяца после прекращения деятельности Conti, некоторые из ее членов продолжают работать в составе других групп вымогателей или в качестве независимых подрядчиков, занимающихся кражей данных, первоначальным доступом к сети и другими преступными действиями.
По данным Intel 471, по отдельности участники Conti остаются такими же опасными для организаций, как и раньше. Исследователи отслеживают участников Conti, поскольку они разделились по разным направлениям с момента распада группы в мае .
Прекращение деятельности, вероятно, является попыткой хакеров уйти от бренда Conti. Согласно новому отчету Intel 471 , как только внимание правоохранительных органов к группе Conti ослабнет, её участники могут сформировать еще одну преступную организацию, аналогичную по структуре Conti.
«Чтобы защитить свои предприятия, специалисты по безопасности должны понимать, как киберпреступники организуют свои операции. Несмотря на то, что Conti больше не существует, бывшие операторы все еще используют аналогичные тактики, методы и процедуры (TTPs). Это означает, что службы безопасности могут по-прежнему использовать свои методы предотвращения подобных атак, а не полностью их игнорировать после распада Conti», — сказал Брэд Кромптон, директор по разведке группы общих служб Intel 471.
Intel 471 также упомянула вымогательские кампании BlackByte и Karakurt , которые имеют совпадения с Conti и на самом деле могут быть просто переименованными кампаниями Conti. Завершение деятельности Conti произошло в разгар кибервойны с Коста-Рикой . По словам экспертов, Conti предприняла эту публичную атаку для сокрытия реальной операции.