勒索软件团伙Conti聊天遭泄漏后已经从损害中恢复过来

据悉，勒索软件团伙Conti已经从聊天泄露造成的损害中恢复过来。

一个名为ContiLeaks的推特账户在2月底首次亮相，全球各地的人们都在观看俄罗斯勒索软件团伙Conti成员之间数万次泄露的聊天记录。

在泄密事件发生后的几天里，许多人庆祝他们认为会对Conti造成毁灭性打击，一名乌克兰安全研究人员显然通过泄露内部聊天来惩罚Conti，因为该团伙威胁要“反击”任何组织“任何战争”的实体对俄罗斯的活动。”

聊天泄漏十天后，Conti在蓬勃发展

专家表示，臭名昭著的勒索软件团伙已经很容易转移，替换了泄漏中暴露的大部分基础设施，同时迅速采取行动打击有赎金要求的新目标。根据网络安全公司AdvIntel的首席执行官Vitali Kremez的说法，截至周一早上，Conti已经成功地在美国公司完成了两次新的数据泄露事件。

Kremez表示：“Conti回来了，并且仍在运作，并将追求更多目标，他们安然无恙。”

Kremez和其他专家表示，在2月27日聊天记录首次泄露后的几天里，Conti可能已经重新站稳脚跟，但它从未完全禁用。专家表示，该团伙的领导层在泄密事件发生后的最初几天做出了重大努力，将其在黑客攻击中暴露的基础设施迁移到新系统，这最初减缓了勒索软件的活动。那个空档期已经结束。

Recorded Future的威胁分析师艾伦·利斯卡(Allan Liska)表示，由于很多受害者没有披露勒索软件攻击，因此很难知道Conti在泄密后的最初几天是否完全不活跃，但他表示他的公司“肯定注意到了Conti的活动放缓”。

僵尸网络和指挥和控制活动开始回升

Liska说，在泄密开始后的几天内，Conti的勒索网站上没有任何内容——该团伙在那里公开了属于不支付赎金的用户的数据。然而，利斯卡表示，即使在正常情况下，Conti也不会每天在网站上发帖，因此很难确定这两个事件是否相关。

Liska说，过去几天，威胁分析社区一直在讨论Conti不断增加的网络活动。虽然Liska不知道Kremez披露的新数据泄露事件，但他说他听说最近“尝试的泄露事件或发送的网络钓鱼电子邮件，诸如此类的事情有所增加，这表明他们[Conti]仍在试图获得使用权。”

Liska表示，在聊天泄露后的最初几天，Conti的大部分基础设施都处于停机状态——至少有25台不同的服务器暴露在泄露中，而且这些服务器仍然处于停机状态。但Liska表示，Conti的“命令和控制”服务器非常庞大，并非所有服务器都已倒下。

Liska说，他估计Conti随时有50到100台服务器在运行，这使得25台左右的服务器被击倒是可以幸存的。Liska说，最近几天，Conti使用了为旧基础设施提供支持的相同软件，并且只是将所有内容转移到了新的Internet协议地址。