Conti Ransomware Colpisce il Nord America e l’Europa con Attacchi di Doppia Estorsione
Indice:
Nonostante sia una minaccia relativamente nuova nel campo della cybersecurity, il ransomware Conti è già diventato un grande pericolo per le organizzazioni di tutto il mondo. Dalla sua comparsa nel maggio 2020, i ricercatori di sicurezza hanno segnalato almeno 150 attacchi riusciti contro il commercio al dettaglio, la produzione, la costruzione e altre industrie in Nord America e nell’Europa occidentale. Notoriamente, gli operatori di Conti applicano uno schema di doppia estorsione contro le loro vittime, richiedendo un riscatto per la decrittazione e divulgando i dati rubati se non viene pagato.
Cos’è il Ransomware Conti?
Secondo l’ultimo analisi di Cyberseason, Conti è un malware molto offensivo, capace di auto-diffondersi, crittografia veloce, evasione riuscita e movimento laterale. Attualmente, è promosso attivamente secondo il modello Ransomware-as-a-Service (RaaS) su vari forum darknet. Inoltre, la Conti Gang ha stabilito partnership esclusive con i manutentori di TrickBot che hanno sostituito il ransomware Ryuk in favore di Conti durante l’estate 2020. La forte promozione da parte del gruppo TrickBot, il rapido ciclo di aggiornamento, i campioni di codice condivisi e le funzionalità avanzate fanno del ransomware Conti un successore a tutti gli effetti di Ryuk per quanto riguarda le sue capacità malevole.
La Conti Gang ha rilasciato tre versioni del ransomware dal maggio 2020, rendendo ogni rilascio successivo ancora più noto. L’ultima versione ha ricevuto:
- Funzioni di diffusione migliorate che utilizzano SMB per bloccare più host all’interno della rete compromessa;
- Routine di crittografia migliorata, che si basa sulla tecnica del multithreading per ottenere il blocco rapido dei file entro 32 thread di crittografia simultanei;
- Tattiche di evasione potenziate, che consentono l’anti-analisi nascondendo le chiamate API di Windows e utilizzando un debugger Python dedicato.
I ricercatori di sicurezza di ClearSky rivelano che gli operatori del ransomware Conti potrebbero essere legati al collettivo di hacking affiliato alla Russia noto come Wizard Spider. In precedenza, questo gruppo di minacce era stato identificato per mantenere il famigerato ransomware Ryuk, e l’analisi dell’attacco contro una società canadese anonima indica che gli stessi attori sono dietro le intrusioni di Conti.
Attacchi del Ransomware Conti
Secondo gli esperti di sicurezza, Conti è prevalentemente distribuito con l’aiuto dell’infrastruttura maligna di TrickBot. La routine di infezione segue lo stesso schema nella maggior parte dei casi. Le vittime ricevono un’email di phishing con link maliziosi inseriti nel suo corpo. In caso di clic, gli URL reindirizzano gli utenti al Google drive contenente eseguibili del Trojan Bazar. Una volta installato, Bazar scarica il ransomware Conti sulla rete compromessa.
Ad oggi, la Conti Gang ha colpito con successo oltre 150 aziende in tutto il mondo, la maggior parte delle quali si trovano in Nord America. Il numero di vittime è in costante crescita, il che si riflette in un sito web dedicato a Conti lanciato dai gestori del ransomware. Gli avversari utilizzano questa pagina web negli schemi di doppia estorsione per far trapelare pezzi di informazioni rubate e spingere le loro vittime a pagare il riscatto. Ad esempio, nel dicembre 2020, gli sviluppatori di Conti hanno inserito due archivi ZIP presumibilmente contenenti 3GB di dati esfiltrati da produttore Advantech IoT. Nello stesso mese, gli hacker hanno trapelato dati dall’ Agenzia di Protezione Ambientale Scozzese (SEPA) sul suo sito web. Gli attacchi più recenti del noto gruppo ransomware hanno colpito diverse istituzioni sanitarie statunitensi, tra cui Leon Medical Centers e Nocona General Hospital. La Conti Gang ha divulgato centinaia di cartelle cliniche in un tentativo di estorsione.
Rilevamento del Conti
Uno degli sviluppatori di Threat Bounty più attivi di SOC Prime, Osman Demir, ha recentemente rilasciato una regola Sigma esclusiva mirata alla rilevazione degli attacchi Conti. Per identificare tecniche e procedure associate all’infezione da ransomware Conti e prevenire l’attacco, sei benvenuto a scaricare contenuti specifici di SOC dal Threat Detection Marketplace tramite il seguente link.
https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, CrowdStrike
MITRE ATT&CK:
Tattiche: Impatto, Escalation dei privilegi, Evasione della difesa, Scoperta
Tecniche: Dati criptati per impatto (T1486), Iniezione di processo (T1055), Scoperta di sistema remoto (T1018)
A meno che tu non abbia un accesso a pagamento al Threat Detection Marketplace, questa regola Sigma esclusiva può essere sbloccata attivando la tua prova gratuita sotto un abbonamento comunitario. Inoltre, ti raccomandiamo di prestare attenzione alla regola Sigma della comunità che copre anche l’infezione da Conti: https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-contextÂ
Iscriviti al Threat Detection Marketplace, la più grande piattaforma di Detection as Code al mondo che aggrega oltre 100K regole di rilevamento e risposta facilmente convertibili a varie piattaforme. Vuoi unirti alla comunità di difensori cyber di SOC Prime e contribuire alla libreria leader di contenuti SOC nel settore? Entra nel nostro Programma di Ricompensa per le Minacce per un futuro più sicuro!
