谷歌称，前康迪勒索软件团伙成员帮助锁定了乌克兰

谷歌表示，一个网络犯罪集团包括臭名昭著的康蒂勒索软件团伙的前成员，目标是乌克兰政府和该地区的欧洲非政府组织。

这些细节来自威胁分析小组（TAG）的一篇新博客文章，该小组是谷歌内部一个致力于跟踪国家赞助的网络活动的团队。

乌克兰战争已经持续了半年多，包括黑客活动和电子战在内的网络活动一直是背景。现在，TAG表示，在该地区，追求利润的网络犯罪分子越来越多。

从2022年4月到8月，TAG一直在关注“越来越多的以乌克兰为目标的经济动机威胁行为体，其活动似乎与俄罗斯政府支持的袭击者密切相关，”TAG的皮埃尔·马克局写道。这些国家支持的参与者之一已经被乌克兰国家计算机应急响应小组（CERT）指定为UAC-0098。但来自TAG的新分析将其与Conti联系起来：一个多产的全球勒索软件团伙，在5月的网络攻击中关闭了哥斯达黎加政府。

TAG评估，UAC-0098的一些成员是Conti网络犯罪集团的前成员，他们将其技术用于针对乌克兰。

“根据多个指标，TAG评估，UAC-0098的一些成员是Conti网络犯罪集团的前成员，将其技术重新用于针对乌克兰，”该局写道。

该组织名为UAC-0098，此前曾使用名为IcedID的银行特洛伊木马进行勒索软件攻击，但谷歌的安全研究人员表示，该组织现在正转向“出于政治和经济动机”的活动，该组织的成员正在利用他们的专业知识充当初始访问代理-黑客首先破坏计算机系统，然后将访问权出售给有兴趣利用目标的其他参与者。

在最近的活动中，该组织向乌克兰酒店业的多个组织发送网络钓鱼电子邮件，这些组织声称是乌克兰的网络警察，或者在另一个例子中，通过从印度连锁酒店的黑客电子邮件账户发送的网络钓鱼电子邮件攻击意大利的人道主义非政府组织。

其他网络钓鱼活动模仿了由埃隆·马斯克的SpaceX运营的卫星互联网系统Starlink的代表。这些电子邮件向恶意软件安装者发送链接，伪装成通过Starlink系统连接互联网所需的软件。

在今年5月下旬首次公布Follina漏洞后不久，与Conti相关的组织也利用了该漏洞。TAG说，在这次和其他攻击中，不清楚UAC-0098在系统被破坏后采取了什么行动。

总的来说，谷歌研究人员指出“东欧的金融动机集团和政府支持集团之间的界限模糊”，这表明网络威胁行为体经常调整其活动，以符合特定地区的地缘政治利益。

但这并不总是一种保证获胜的策略。在入侵乌克兰之初，康蒂为公开宣布支持俄罗斯付出了代价，一名匿名人士泄露了该组织一年多的内部聊天日志。