0
0
Em pouco mais de um mês, o coletivo de ransomware Conti comprometeu mais de 40 empresas em todo o mundo, e o ataque mais rápido levou apenas três dias, observou o Group-IB em seu último relatório detalhando o funcionamento de uma das gangues de ransomware / extorsão mais prolíficas do mercado.
Em dois anos, os operadores de ransomware atacaram mais de 850 vítimas, incluindo corporações, agências governamentais e até mesmo um país inteiro (Costa Rica).
Duplo acerto
A existência da gangue Conti veio à tona pela primeira vez em fevereiro de 2020, quando arquivos maliciosos com a extensão “.сonti” apareceram no radar dos pesquisadores do Grupo IB. No entanto, as versões iniciais de teste do malware datam de novembro de 2019.
Desde 2020, a Conti tem dominado a cena do ransomware ao lado de Maze e Egregor em termos do número de empresas cujos dados foram criptografados.
Em 2020, Conti publicou dados pertencentes a 173 vítimas em seu local de vazamento dedicado (DLS). No final de 2021, a Conti ficou em primeiro lado como um dos maiores e mais agressivos grupos, tendo publicado dados pertencentes a 530 empresas em seu DLS.
Em apenas quatro meses em 2022, o grupo postou informações pertencentes a 156 empresas, totalizando 859 vítimas de DLS em dois anos, incluindo 46 em abril de 2022. Acredita-se que o número real de vítimas seja significativamente maior.
Ganga de ransomware Conti em um rolo
Conti e seus afiliados atacam com frequência e rapidez. Especialistas do Grupo IB analisaram uma das campanhas mais rápidas e produtivas do grupo, codinome “ataque de ARMA”. A campanha durou apenas cerca de um mês (de 17 de novembro a 20 de dezembro de 2021), mas acabou sendo extremamente eficaz.
Os atacantes comprometeram mais de 40 organizações em todo o mundo. A maioria dos ataques foi realizada nos EUA (37%), mas a campanha também aumentou pela Europa, com vítimas na Alemanha (3%), Suíça (2%), Holanda, Espanha, França, República Tcheca, Suécia e Dinamarca (1% cada). O grupo também atacou organizações nos Emirados Árabes Unidos (2%) e na Índia (1%).
Historicamente, os cinco principais setores mais frequentemente visados pela Conti são a manufatura (14%), o setor imobiliário (11,1%), a logística (8,2%), os serviços profissionais (7,1%) e o comércio (5,5%). Depois de obter acesso à infraestrutura de uma empresa, os atores da ameaça exfiltram documentos específicos (na maioria das vezes para determinar com qual organização estão lidando) e procuram arquivos que contenham senhas (texto simples e criptografados). Por fim, depois de adquirir todos os privilégios necessários e obter acesso a todos os dispositivos em que estão interessados, os hackers implantam ransomware em todos os dispositivos e o executam.
De acordo com a equipe de Inteligência contra Ameaças do Grupo-IB, o ataque mais rápido da gangue foi realizado em exatamente três dias, desde o acesso inicial até a criptografia de dados.
“horário de trabalho” de Conti
Muito provavelmente, os membros do grupo estão localizados em diferentes fusos horários; no entanto, o cronograma mostra sua alta eficiência: em média, Conti “funciona” 14 horas por dia sem feriados (exceto “feriados de Ano Novo”) e fins de semana. O grupo começa a trabalhar mais perto do meio-dia (GMT+3) e sua atividade diminui apenas depois das 21:00.
A geografia dos ataques de Conti é vasta, mas não inclui a Rússia. O grupo adere claramente à regra não dita entre os cibercriminosos de língua russa: não ataque as empresas russas. A maioria dos ataques ocorre nos Estados Unidos (58,4%), seguido pelo Canadá (7%), Reino Unido (6,6%), Alemanha (5,8%), França (3,9%) e Itália (3,1%).
Outra razão por não atingir as empresas russas é que os principais membros da Conti se referem a si mesmos como “patriotas”. Este fato foi a causa de um “conflito interno” no grupo em fevereiro de 2022, o que resultou em algumas das informações valiosas de Conti vazarem on-line. Os dados publicados incluíram registros de bate-papo privados, os servidores que eles usam, uma lista de vítimas e detalhes das carteiras Bitcoin, que armazenavam mais de 65.000 BTC no total. Os bate-papos vazados revelaram que o grupo havia enfrentado sérias dificuldades financeiras e que seu chefe havia saído do radar. No entanto, seus membros estavam totalmente preparados para reiniciar o projeto após 2 a 3 meses.
Apesar da “faqueada nas costas” e do aumento da atenção da aplicação da lei, o apetite de Conti continuou a aumentar. Eles atacaram não apenas grandes empresas, mas também países inteiros. A “guerra cibernética” de Conti contra a Costa Rica em abril de 2022 levou à declaração de estado de emergência.
Programa de incentivo
Conti trabalhou em estreita colaboração com outras operadoras de ransomware, como Ryuk, Netwalker, LockBit e Maze. Eles até testaram o ransomware do Maze, o reprojetaram e, assim, melhoraram significativamente o seu próprio. Uma análise da campanha ARMattack revelou que o arsenal do grupo incluía não apenas ferramentas do Windows descritas anteriormente, mas também ransomware Linux: Conti e Hive.
Dito isso, o grupo tende a criar ferramentas exclusivas sem reutilizar trechos de código. Dessa forma, quando comparado, o código de suas ferramentas não ajudará a identificar padrões comuns. Antes que os registros de bate-papo fossem vazados, os pesquisadores de segurança cibernética só podiam assumir que alguns programas de afiliados RaaS (Ransomware-as-a-service) eram, de fato, divisões da Conti. Ao mesmo tempo, a interação foi extensa. Às vezes, a Conti usava o acesso à rede de outros corretores de acesso inicial, outras vezes a gangue compartilhou seu próprio acesso por um modesto 20% da receita.
Assim como um negócio de TI legítimo
A Conti tem seus próprios departamentos de RH, P&D e OSINT. Há líderes de equipe, pagamentos regulares de salários e um programa de incentivo.
Uma das características distintivas de Conti é o uso de novas vulnerabilidades, o que ajuda o grupo a obter acesso inicial. Por exemplo, Conti foi visto explorando as recentes vulnerabilidades CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 no módulo log4j. Menos de uma semana depois, Conti explorou essas vulnerabilidades para atacar os servidores vCenter.
Os registros de bate-papo vazados também mostraram que o grupo monitora novas vulnerabilidades com cuidado. Uma das tarefas do CEO da Conti para a equipe técnica foi monitorar as atualizações do Windows e analisar as alterações feitas com novos patches – o que mais uma vez destaca a necessidade de instalar as atualizações o mais rápido possível. Além disso, a equipe da Conti inclui especialistas com experiência na descoberta de zero-dias.
“O aumento da atividade de Conti e o vazamento de dados sugerem que o ransomware não é mais um jogo entre desenvolvedores médios de malware, mas uma indústria ilícita de RaaS que oferece empregos a centenas de cibercriminosos em todo o mundo com várias especializações. Neste setor, a Conti é um jogador notório que, de fato, criou uma “empresa de TI” cujo objetivo é extorquir grandes somas”, diz Ivan Pisarev, Chefe da Equipe Dinâmica de Análise de Malware do departamento de Inteligência contra Ameaças do Group-IB.
“É difícil prever o que acontecerá com a Conti no futuro: se ela continuará trabalhando após um rebranding em larga escala ou se será dividida em subprojetos menores. É claro, no entanto, que o grupo continuará suas operações, por conta própria ou com a ajuda de seus projetos “subsidiários”.
FONTE: HELPNET SECURITY