Conti's Ransomware-datalekkasje

En sveitsisk PRODAFT-trusselsetterretning (PTI) Team publiserte nylig en rapport om funnene deres som er relatert til en av de mest beryktede nettkriminelle gjengene i verden. Teamet klarte å få tilgang til Contis infrastruktur og skaffet de ekte IP-adressene til serverne deres. Rapporten gir innsikt i hvordan Conti løsepenge-gjengen fungerer, hvor mange mål de allerede har angrepet og mer.

Conti løsepengevare fikk datalekkasje

"Vi har stor tro på at denne rapporten vil tjene som et viktig medium for å forstå den indre funksjonen til høyprofilerte løsepengevaregrupper som Conti, spesielt med det formål å skape mer effektive samarbeids- og utbedringsstrategier av alle autoriserte offentlige og private tjenestemenn,” PRODAFT Threat Intelligence (PTI) Team skrev på nettstedet deres med en pdf-fil av en rapport vedlagt.

Conti er spesielt kjent for å være en ganske hensynsløs cyberkriminell gjeng som vilkårlig vil målrette mot sykehus, politiekspeditører og nødetatene. De vil ofte ikke gi en dekrypteringsnøkkel til ofre selv når betalingen er utført. Denne spesielle løsepengevaregruppen skaper ofte overskrifter med sine høyprofilerte mål og store summer de etterpå krever.

Conti's Ransomware-datalekkasje
Conti utpressingsblogg

Løsepengevare for kontoer ( a.k.a. Trollmannsedderkopp, Ryuk og Hermes) er et ondsinnet program som hindrer brukere i å få tilgang til dataene deres med mindre ofrene betaler løsepenger. Conti skanner automatisk nettverk for lønnsomme mål, utvides gjennom nettverket, og krypterer hver enhet og konto den kan oppdage. I motsetning til lignende løsepengevarevarianter, Conti løsepengeprogramvare fungerer som en løsepengevare-som-en-tjeneste (RAAS) forretningsmodell. Det betyr at det er løsepengevareutviklere som selger eller leaser løsepengevareteknologiene sine til tilknyttede selskaper. Tilknyttede selskaper bruker på sin side denne teknologien til å drive ransomware -angrep.

Conti's Ransomware-datalekkasje
Conti hovedside

Første gang Conti løsepengevaregruppen ble oppdaget i oktober 2019. Siden den gang har gjengen oppgradert til en løsepengevarevariant kjent som Conti v3.0. Siden gruppen fungerer som en RaaS-tilknyttet modell, rekrutterer den aktivt nye medlemmer. På 05.08.2021 det ser ut til at en av slike tilknyttede selskaper lekket Contis teamdata. Den avslørte gruppens opplæringsmateriell, guider, interne dokumenter og mye mer. Noe slikt skjer i tilknyttede forretningsmodeller. En bruker ved navn m1Geelka kom med anklagene om at gruppen mishandlet dem med hensyn til penger.

Cyberkriminelle gjenger bruker oppdaterte sikkerhetsutnyttelser

Conti løsepengevare er i stadig utvikling i sitt angrepsmønster. De bruker oppdaterte sikkerhetsutnyttelser som FortiGate og PrintNightmare, som er kjente utnyttelser med allerede tilgjengelige offisielle oppdateringer. Mange brukere har fortsatt ikke brukt oppdateringene, og gjengen manipulerer dette faktum. Ettersom Conti fungerer som RaaS-tjenestemodellen gir det gjengen en enorm fleksibilitet når det gjelder hvordan de skal utføre et angrep. Contis tilknyttede selskaper bruker et bredt spekter av metoder og blant dem:

  • Legitimasjonsfylling;
  • Massesårbarhetsskanning;
  • Eksklusiv programvare for distribusjon av skadelig programvare;
  • E-post phishing;
  • Falske nettsider, etterligne telefonsamtaler, og lignende sosial ingeniørtaktikk.
  • Blant dem, phishing er den desidert vanligste. En annen vanlig metode inkluderer massesårbarhetsskanning. Det er når automatiserte roboter sjekker offentlig eksponerte nettverk for kjente sårbarheter. Conti-tilknyttede selskaper bruker også avanserte Malware-as-a-Service-teknologier som BazarLoader, Trickbot og Emotet med det formål å distribuere Conti løsepengeprogramvare.

    Rapporten avsluttes med en detaljert beskrivelse av Contis Management Panel, statistikk over gruppens aktivitet og hvordan gjengen styrer pengestrømmen sin.

    About Andrew Nail

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

    Sjekk også

    Nordkoreanske hackere siktet sikkerhetsselskaper

    Nord-Korea hackere siktet sikkerhetsselskaper

    I sin første utgave av den nye Threat Horizons-rapporten Google, blant andre oppdagede cybertrusler, …

    Ny PowerShortShell Stealer utnytter nylig Microsoft MSHTML-sårbarhet

    Ny PowerShortShell Stealer

    På november 24, 2021 SafeBreach Labs published research on a new Iranian threat actor using

    Legg igjen et svar