*Especialistas expõem os segredos do Grupo Conti Ransomware que fez 25 milhões de vítimas
Os portais de pagamento clearnet e dark web operados pelo grupo de ransomware Conti caíram no que parece ser uma tentativa de mudar para uma nova infraestrutura depois que detalhes sobre o funcionamento interno da gangue e seus membros foram tornados públicos.
De acordo com o MalwareHunterTeam , "enquanto os domínios clearweb e Tor do site de vazamento da gangue de ransomware Conti estão online e funcionando, ambos os domínios clearweb e Tor para o site de pagamento (que é obviamente mais importante do que o vazamento) estão fora do ar".
Não está claro o que motivou o desligamento, mas o desenvolvimento ocorre quando a empresa suíça de segurança cibernética PRODAFT ofereceu uma visão sem precedentes do modelo de ransomware como serviço (RaaS) do grupo, em que os desenvolvedores vendem ou alugam sua tecnologia de ransomware para afiliados contratados da darknet fóruns, que então realizam ataques em seu nome, ao mesmo tempo em que recebem cerca de 70% de cada pagamento de resgate extorquido das vítimas.
O resultado? Três membros da equipe Conti foram identificados até agora, cada um desempenhando as funções de administrador ("Tóquio"), assistente ("it_work_support @ xmpp [.] Jp") e recrutador ("IT_Work") para atrair novos afiliados para seus rede.
Embora os ataques de ransomware funcionem criptografando as informações confidenciais das vítimas e tornando-as inacessíveis, os agentes da ameaça têm cada vez mais se agarrado a uma estratégia dupla chamada extorsão dupla para exigir um pagamento de resgate pela descriptografia dos dados e ameaçar publicar publicamente as informações roubadas se o o pagamento não é recebido dentro de um prazo específico.
"Clientes Conti - agentes de ameaças afiliados - usam painel de gerenciamento [digital] para criar novas amostras de ransomware, gerenciar suas vítimas e coletar dados sobre seus ataques", observaram os pesquisadores, detalhando a cadeia de destruição de ataques do sindicato aproveitando o PrintNightmare ( CVE-2021- 1675 , CVE-2021-34527 e CVE-2021-36958 ) e vulnerabilidades FortiGate ( CVE-2018-13374 e CVE-2018-13379 ) para comprometer sistemas sem patch .
Surgindo no cenário do crime cibernético em outubro de 2019, Conti é considerado o trabalho de um grupo de ameaças com sede na Rússia chamado Wizard Spider , que também é o operador do infame malware bancário TrickBot . Desde então, pelo menos 567 empresas diferentes tiveram seus dados críticos de negócios expostos no site de humilhação de vítimas, com o cartel de ransomware recebendo mais de 500 bitcoin ($ 25,5 milhões) em pagamentos desde julho de 2021.
Além do mais, uma análise de amostras de ransomware e os endereços de carteira bitcoin utilizados para receber os pagamentos revelou uma conexão entre Conti e Ryuk, com ambas as famílias apostando pesadamente em TrickBot, Emotet e BazarLoader para realmente entregar as cargas úteis de criptografia de arquivo nas redes da vítima por meio de phishing de e-mail e outros esquemas de engenharia social.
A PRODAFT disse que também foi capaz de obter acesso ao serviço de recuperação do grupo e um painel de gerenciamento administrativo hospedado como um serviço oculto Tor em um domínio Onion, revelando amplos detalhes de um site clearnet chamado "[contirecovery [.] Ws]" que contém instruções para comprar chaves de descriptografia das afiliadas. Curiosamente, uma investigação sobre o processo de negociação de ransomware da Conti publicada pela Team Cymru no mês passado destacou uma URL da web aberta semelhante chamada "contirecovery [.] Info."
"Para enfrentar o complexo desafio de interromper as organizações cibercriminosas, as forças públicas e privadas precisam trabalhar em colaboração umas com as outras para melhor compreender e mitigar o impacto jurídico e comercial mais amplo da ameaça", disseram os pesquisadores.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário