Analisando a “Conti” que acaba de lançar seu site de vazamento de dados

O ator de ransomware Ryuk é conhecido por seu ataque bem planejado e personalizado com base em seu alvo. No entanto, de acordo com Vitali Kremez da Advanced Intel , o trojan TrickBot não foi localizado desde julho de 2020. Em vez disso, os operadores vinculados ao TrickBot estão agora implantando o ransomware Conti.

O que aconteceu recentemente?

O grupo de ransomware Conti mudou para a tática de “extorsão dupla”, revelando um site de vazamento como parte de sua estratégia de extorsão para forçar as vítimas a pagar um resgate ou enfrentar a humilhação pública.

Um pouco de história do seu jeito

Os operadores de ransomware geralmente têm como alvo grandes entidades com altas demandas de resgate. Por exemplo, em fevereiro. 2020, a cidade de Cartersville pagou $ 380.000 aos agressores.

Modus operandi

  • Os invasores usam e-mails de phishing, links maliciosos e sites para infectar os funcionários da entidade visada com TrickBot e Emotet . Então, esse bot começa a se espalhar lateralmente dentro da rede e, finalmente, implanta o ransomware. 
  • esquema de criptografia usado pela Ryuk é construído para operações de pequena escala, visando especificamente ativos e recursos cruciais, sugerindo que seus operadores o utilizem para ataques amplamente personalizados.
  • Os atores usam módulos do software de emulação de ameaças Cobalt Strike, script DACheck e ferramenta PsExec.
  • Em um incidente , o ransomware foi implantado após uma infecção média de duas semanas do trojan Trickbot.

A história de fundo

  • Surgido pela primeira vez em agosto de 2018, acredita-se que o sofisticado ransomware seja a criação do “Wizard Spider”, um grupo cibercriminoso com sede na Rússia. 
  • Ryuk é baseado no ransomware Hermes, que foi usado pelo grupo norte-coreano Lazarus contra o Taiwanese Far Eastern International Bank (FEIB) em outubro de 2017.
  • Os especialistas acreditam que o grupo russo comprou o código-fonte da Hermes da dark web e o atualizou com uma nova versão chamada “Ryuk”.

Principais conclusões

Os atores do ransomware visam especificamente as organizações capazes de pagar um resgate mais alto. Para mitigar a ameaça, as organizações devem fornecer treinamento aos seus funcionários para identificar esses emails de phishing com malware, corrigir sistemas vulneráveis, desabilitar macros, segmentar o acesso a arquivos, fazer backups regularmente e usar uma solução anti-malware confiável.

Fonte: https://cyware.com/news/taking-a-look-into-conti-that-just-launched-its-data-leak-site-d6fb421d