0
0
Pesquisadores de segurança descrevem a campanha executada pelos hackers como uma das “mais produtivas” e “extremamente eficazes” do grupo
O grupo de hackers que opera o Conti executa um dos ataques de ransomware mais agressivos e cresceu altamente organizado, a ponto de afiliados conseguirem hackear mais de 40 empresas em pouco mais de um mês. Pesquisadores de segurança descrevem a campanha executada pelos hackers como uma das “mais produtivas” e “extremamente eficazes” do grupo.
Relatório da empresa de segurança cibernética Group-IB diz que uma das “campanhas mais produtivas” do Conti ocorreu no ano passado, entre 17 de novembro e 20 de dezembro de 2021. Os pesquisadores da empresa descobriram a onda de hacks de um mês do grupo durante as atividades de resposta a incidentes e o apelidaram de ARMattack, com base em um nome de domínio que expôs a infraestrutura da gangue.
Durante a campanha, os afiliados do Conti conseguiram comprometer mais de 40 organizações em vários setores de atividade que operam em uma ampla geografia, mas com foco em empresas sediadas nos EUA.
Um porta-voz do Group-IB disse ao BleepingComputer que o ARMattack foi muito rápido e explicou que o relatório da empresa se refere a organizações que tiveram suas redes comprometidas. Não se sabe se alguma das vítimas pagou o resgate exigido pelo agressor. Vale notar que, embora o site de vazamento do Conti tenha publicado dados de até 46 vítimas em apenas um mês — por exemplo, abril de 2022 —, a data do comprometimento permanece incerta.
Com base nos dados do Group-IB, o ataque bem-sucedido mais curto da Conti durou apenas três dias, desde o tempo de acesso inicial até a criptografia dos sistemas da organização. “Depois de obter acesso à infraestrutura de uma empresa, os operadores da ameaça exfiltram documentos específicos (na maioria das vezes para determinar com qual organização estão lidando) e procuram arquivos contendo senhas (texto simples e criptografado). Por fim, depois de adquirir todos os privilégios necessários e obter acesso a todos os dispositivos em que estão interessados, os hackers implantam o ransomware em todos os dispositivos e o executam”, diz o relatório do Group-IB.
Usando dados coletados de fontes públicas, como os chats internos vazados da quadrilha, o Group-IB vem analisando as “horas de trabalho” do Conti. De acordo com os pesquisadores, os membros do Conti estão ativos cerca de 14 horas todos os dias, exceto durante o feriado de Ano Novo, horário que responde por sua eficiência. O Grupo-IB diz que o grupo começa a trabalhar ao meio-dia (horário de Moscou) e se retira após as 21h. Os membros do Conti provavelmente estão dispersos em vários países e fusos horários.
Além disso, os pesquisadores destacam que o grupo funciona de forma semelhante a um negócio legítimo, com indivíduos encarregados de encontrar trabalhadores, pesquisa e desenvolvimento, executar trabalhos de OSINT (inteligência em código aberto) e fornecer suporte ao cliente.
Os esforços da Conti para ficar à frente das defesas incluem monitorar as atualizações do Windows e analisar as alterações de novos patches, além de descobrir vulnerabilidades de dia zero que podem ser usadas em ataques e explorar falhas de segurança recém-divulgadas.
“O aumento da atividade de Conti e o vazamento de dados sugerem que o ransomware não é mais um entre desenvolvedores de malware comuns, mas uma indústria de ronsomware-as-a-service [RaaS] que dá emprego a milhares de cibercriminosos em todo o mundo com várias especializações”, escreve Ivan Pisarev, chefe da equipe de análise dinâmica de malware da equipe de inteligência em ameaças do Group-IB.
O Conti se tornou uma ameaça tão grande que o governo dos EUA está oferecendo uma recompensa de até US$ 15 milhões por informações que levem à identificação e localização dos principais membros do grupo.
FONTE: CISO ADVISOR