谷歌稱，前康迪勒索軟件團伙成員幫助鎖定了烏克蘭

谷歌表示，一個網絡犯罪集團包括臭名昭著的康蒂勒索軟件團伙的前成員，目標是烏克蘭政府和該地區的歐洲非政府組織。

這些細節來自威脅分析小組（TAG）的一篇新博客文章，該小組是谷歌內部一個致力于跟蹤國家贊助的網絡活動的團隊。

烏克蘭戰爭已經持續了半年多，包括黑客活動和電子戰在內的網絡活動一直是背景。現在，TAG表示，在該地區，追求利潤的網絡犯罪分子越來越多。

從2022年4月到8月，TAG一直在關注“越來越多的以烏克蘭為目標的經濟動機威脅行為體，其活動似乎與俄羅斯政府支持的襲擊者密切相關，”TAG的皮埃爾·馬克局寫道。這些國家支持的參與者之一已經被烏克蘭國家計算機應急響應小組（CERT）指定為UAC-0098。但來自TAG的新分析將其與Conti聯系起來：一個多產的全球勒索軟件團伙，在5月的網絡攻擊中關閉了哥斯達黎加政府。

TAG評估，UAC-0098的一些成員是Conti網絡犯罪集團的前成員，他們將其技術用于針對烏克蘭。

“根據多個指標，TAG評估，UAC-0098的一些成員是Conti網絡犯罪集團的前成員，將其技術重新用于針對烏克蘭，”該局寫道。

該組織名為UAC-0098，此前曾使用名為IcedID的銀行特洛伊木馬進行勒索軟件攻擊，但谷歌的安全研究人員表示，該組織現在正轉向“出于政治和經濟動機”的活動，該組織的成員正在利用他們的專業知識充當初始訪問代理-黑客首先破壞計算機系統，然后將訪問權出售給有興趣利用目標的其他參與者。

在最近的活動中，該組織向烏克蘭酒店業的多個組織發送網絡釣魚電子郵件，這些組織聲稱是烏克蘭的網絡警察，或者在另一個例子中，通過從印度連鎖酒店的黑客電子郵件賬戶發送的網絡釣魚電子郵件攻擊意大利的人道主義非政府組織。

其他網絡釣魚活動模仿了由埃隆·馬斯克的SpaceX運營的衛星互聯網系統Starlink的代表。這些電子郵件向惡意軟件安裝者發送鏈接，偽裝成通過Starlink系統連接互聯網所需的軟件。

在今年5月下旬首次公布Follina漏洞后不久，與Conti相關的組織也利用了該漏洞。TAG說，在這次和其他攻擊中，不清楚UAC-0098在系統被破壞后采取了什么行動。

總的來說，谷歌研究人員指出“東歐的金融動機集團和政府支持集團之間的界限模糊”，這表明網絡威脅行為體經常調整其活動，以符合特定地區的地緣政治利益。

但這并不總是一種保證獲勝的策略。在入侵烏克蘭之初，康蒂為公開宣布支持俄羅斯付出了代價，一名匿名人士泄露了該組織一年多的內部聊天日志。