O Ransomware Conti Ataca América do Norte e Europa em Extorsões Duplas
Índice:
Apesar de ser uma ameaça relativamente nova na arena de cibersegurança, o ransomware Conti já se tornou um grande perigo para organizações em todo o mundo. Desde seu surgimento em maio de 2020, pesquisadores de segurança relataram pelo menos 150 ataques bem-sucedidos contra varejo, manufatura, construção e outras indústrias na América do Norte e Europa Ocidental. Notavelmente, os operadores do Conti aplicam um esquema de dupla extorsão contra suas vítimas, exigindo um resgate para decriptação e vazando os dados roubados se não for pago.
O que é o Ransomware Conti?
De acordo com a análise mais recente da Cyberseason, o Conti é um malware muito ofensivo, capaz de auto-propagação, criptografia rápida, evasão bem-sucedida e movimento lateral. Atualmente, está sendo promovido ativamente segundo o modelo Ransomware-as-a-Service (RaaS) em vários fóruns da darknet. Além disso, o Conti Gang estabeleceu parcerias exclusivas com os mantenedores do TrickBot que substituíram o ransomware Ryuk em favor do Conti durante o verão de 2020. A forte promoção pelo grupo TrickBot, o rápido ciclo de atualizações, amostras de código compartilhadas e recursos aprimorados fazem do ransomware Conti um sucessor completo do Ryuk em termos de suas capacidades maliciosas. from Cyberseason, Conti is a very offensive malware, able of auto-spreading, fast encryption, successful evasion, and lateral movement. Currently, it is actively promoted according to the Ransomware-as-a-Service (RaaS) model on various darknet forums. Besides, Conti Gang has established exclusive partnerships with TrickBot maintainers who outplaced Ryuk ransomware in favor of Conti during summer 2020. Strong promotion by TrickBot gang, swift update cycle, shared code samples, and enhanced features make Conti ransomware a full-fledged Ryuk successor as of its malicious capabilities.
Desde maio de 2020, o Conti Gang lançou três versões do ransomware, tornando cada lançamento subsequente ainda mais notório. A versão mais recente recebeu:
- Recursos de propagação aprimorados que aproveitam o SMB para bloquear múltiplos hosts dentro da rede comprometida;
- Rotina de criptografia melhorada, que se baseia em técnica de multithreading para alcançar o bloqueio rápido de arquivos com 32 threads de criptografia simultâneos;
- Táticas de evasão aprimoradas, que permitem anti-análise ao ocultar chamadas de API do Windows e aproveitar um depurador Python dedicado.
Pesquisadores de segurança da ClearSky revelam que os operadores do ransomware Conti podem estar ligados ao coletivo de hackers afiliado à Rússia conhecido como Wizard Spider. Anteriormente, este grupo de ameaças foi identificado como responsável por manter o notório ransomware Ryuk, e a análise do ataque contra uma empresa canadense não identificada indica que os mesmos atores estão por trás das intrusões do Conti.
Ataques de Ransomware Conti
De acordo com especialistas em segurança, o Conti é predominantemente implantado com a ajuda da infraestrutura maliciosa do TrickBot. A rotina de infecção segue o mesmo padrão na maioria dos casos. As vítimas recebem um e-mail de phishing com links maliciosos inseridos em seu corpo. Caso sejam clicados, os URLs redirecionam os usuários para o Google Drive contendo executáveis do trojan Bazar. Uma vez instalado, o Bazar libera o ransomware Conti na rede comprometida.
Até o momento, o Conti Gang atingiu com sucesso mais de 150 empresas em todo o mundo, a maioria localizada na América do Norte. O número de vítimas está constantemente crescendo, o que se reflete em um site dedicado do Conti lançado pelos mantenedores do ransomware. Os adversários usam esta webpage em esquemas de dupla extorsão para vazar pedaços de informações roubadas e pressionar suas vítimas a pagar o resgate. Por exemplo, em dezembro de 2020, os desenvolvedores do Conti colocaram dois arquivos ZIP presumivelmente contendo 3GB de dados exfiltrados do fabricante Advantech IoT. No mesmo mês, hackers vazaram dados da Agência de Proteção Ambiental da Escócia (SEPA) em sua página da web. Os ataques mais recentes do notório grupo de ransomware atingiram várias instituições de saúde nos Estados Unidos, incluindo Leon Medical Centers e Nocona General Hospital. O Conti Gang vazou centenas de registros de pacientes em uma tentativa de extorsão.
Detecção de Conti
Um dos desenvolvedores mais ativos da Threat Bounty da SOC Prime, Osman Demir, lançou recentemente uma regra Sigma exclusiva destinada à detecção de ataques do Conti. Para identificar técnicas e procedimentos associados à infecção por ransomware Conti e prevenir o ataque, você pode baixar o conteúdo dedicado da SOC no Threat Detection Marketplace através do link a seguir.
https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, CrowdStrike
MITRE ATT&CK:
Táticas: Impacto, Escalada de Privilégios, Evasão de Defesa, Descoberta
Técnicas: Dados Encriptados para Impacto (T1486), Injeção de Processo (T1055), Descoberta de Sistemas Remotos (T1018)
A menos que você não tenha acesso pago ao Threat Detection Marketplace, esta regra Sigma exclusiva pode ser desbloqueada ativando seu teste gratuito sob uma assinatura da comunidade. Além disso, recomendamos que você preste atenção à regra Sigma da comunidade que também cobre a infecção por Conti: https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context
Inscreva-se no Threat Detection Marketplace, a maior plataforma de Detecção como Código do mundo, que agrega mais de 100 mil regras de Detecção e Resposta facilmente convertíveis para várias plataformas. Tem desejo de se juntar à comunidade de ciberdefensores da SOC Prime e contribuir para a biblioteca de conteúdo líder do setor da SOC? Junte-se ao nosso programa Threat Bounty para um futuro mais seguro!
