Vazamento de dados de ransomware da Conti

A Swiss PRODAFT Threat Intelligence (PTI) A equipe publicou recentemente um relatório sobre suas descobertas relacionadas a uma das gangues cibercriminosas mais notórias do mundo. A equipe conseguiu acessar a infraestrutura da Conti e obteve os endereços IP reais de seus servidores. O relatório dá uma ideia de como funciona a gangue de ransomware Conti, quantos alvos eles já atacaram e mais.

Conti ransomware sofreu vazamento de dados

“Acreditamos fortemente que este relatório servirá como um meio importante para a compreensão do funcionamento interno de grupos de ransomware de alto perfil, como o Conti, especialmente com o propósito de criar estratégias de cooperação e remediação mais eficientes por todos os funcionários públicos e privados autorizados,”PRODAFT Threat Intelligence (PTI) A equipe escreveu em seu site com um arquivo pdf de um relatório anexado.

Conti é particularmente conhecido por ser uma gangue criminosa cibernética cruel que visa hospitais indiscriminadamente, despachantes policiais e prestadores de serviços de emergência. Eles geralmente não fornecem uma chave de descriptografia para as vítimas, mesmo quando o pagamento é feito. Este grupo particular de ransomware muitas vezes chega às manchetes com seus alvos de alto perfil e grandes somas que eles demandam posteriormente.

Vazamento de dados de ransomware da Conti
Blog da Conti Extortion

Ransomware de contas ( a.k.a. Aranha feiticeira, Ryuk e Hermes) é um programa malicioso que impede que os usuários acessem seus dados, a menos que as vítimas paguem um resgate. O Conti verifica as redes automaticamente em busca de alvos lucrativos, se expande pela rede, e criptografa cada dispositivo e conta que pode detectar. Ao contrário de variantes semelhantes de ransomware, O Conti ransomware funciona como um ransomware-as-a-service (Raas) modelo de negócio. Isso significa que existem desenvolvedores de ransomware que vendem ou alugam suas tecnologias de ransomware para afiliados. As afiliadas, por sua vez, usam essa tecnologia para conduzir ataques de ransomware.

Vazamento de dados de ransomware da Conti
Página principal da Conti

Primeira vez que o grupo de ransomware Conti foi detectado em outubro 2019. Desde então, a gangue atualizou para uma variante de ransomware conhecida como Conti v3.0. Como o grupo funciona como um modelo de afiliado RaaS, ele recruta ativamente novos membros. Em 05.08.2021 parece que um desses afiliados vazou dados da equipe da Conti. Ele expôs os materiais de treinamento do grupo, guias, documentos internos e muito mais. Algo assim acontece no modelo de negócios da filial. Um usuário chamado m1Geelka fez as acusações de que o grupo os maltratava em relação a dinheiro.

Gangue de criminosos cibernéticos usa explorações de segurança atualizadas

O Conti ransomware está em constante evolução em seu padrão de ataque. Eles usam exploits de segurança atualizados, como FortiGate e PrintNightmare, que são exploits conhecidos com patches oficiais já disponíveis. Muitos usuários ainda não aplicaram os patches e a gangue manipula esse fato com sucesso. Como o Conti opera como o modelo de serviço RaaS, ele dá à gangue uma imensa flexibilidade em termos de como conduzir um ataque. Os afiliados da Conti aplicam uma ampla gama de métodos e entre eles:

  • Recheio de credencial;
  • Varredura de vulnerabilidade em massa;
  • Software de distribuição de malware de última geração;
  • Phishing de e-mail;
  • Sites falsos, ligações falsas, e táticas de engenharia social semelhantes.
  • Entre aqueles, phishing é de longe o mais comum. Outro método comum inclui varredura de vulnerabilidade em massa. É quando os bots automatizados verificam as redes expostas publicamente em busca de vulnerabilidades conhecidas. Os afiliados da Conti também usam tecnologias de malware como serviço de ponta, como BazarLoader, trickbot e Emotet para fins de distribuição de ransomware Conti.

    O relatório termina com a descrição detalhada do Painel de Gestão da Conti, estatísticas sobre a atividade do grupo e como a gangue gerencia seu fluxo de dinheiro.

    Sobre Andy

    Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.

    Além disso, verifique

    Os invasores geralmente não usam senhas longas com força bruta

    Os invasores geralmente não usam senhas longas de força bruta

    Os dados da rede de servidores honeypot da Microsoft mostraram que muito poucos ataques foram direcionados a longo e complexo …

    Outro dia zero do Windows permite privilégios de administrador

    Outro dia zero do Windows permite privilégios de administrador

    O pesquisador Abdelhamid Naceri, que frequentemente relata bugs do Windows, desta vez, lançou uma prova de conceito funcional …

    Deixe uma resposta