Analisando a “Conti” que acaba de lançar seu site de vazamento de dados

O que aconteceu recentemente?

O grupo de ransomware Conti mudou para a tática de “extorsão dupla”, revelando um site de vazamento como parte de sua estratégia de extorsão para forçar as vítimas a pagar um resgate ou enfrentar a humilhação pública.

Um pouco de história do seu jeito

Os operadores de ransomware geralmente têm como alvo grandes entidades com altas demandas de resgate. Por exemplo, em fevereiro. 2020, a cidade de Cartersville pagou $ 380.000 aos agressores.

• Desde o início de 2020, a maioria das entidades visadas estão localizadas nos EUA, com a maioria dos setores visados ​​sendo governo ( Port Lavaca City Hall , Delegacia de Polícia de Durham ) e manufatura ( EMCOR , EVRAZ , Electronic Warfare Associates ), o que sugere que os invasores estão interessados ​​no governo e organizações militares.
• Outros setores-alvo variam de educação ( Distrito Escolar Independente de Gadsden , Conselho de Curadores das Escolas Públicas de Havre ), tecnologia da informação ( Finastra ) e jurídico ( Centro de Serviços Legais do Mississippi ).

Modus operandi

• Os invasores usam e-mails de phishing, links maliciosos e sites para infectar os funcionários da entidade visada com TrickBot e Emotet . Então, esse bot começa a se espalhar lateralmente dentro da rede e, finalmente, implanta o ransomware.
• O esquema de criptografia usado pela Ryuk é construído para operações de pequena escala, visando especificamente ativos e recursos cruciais, sugerindo que seus operadores o utilizem para ataques amplamente personalizados.
• Os atores usam módulos do software de emulação de ameaças Cobalt Strike, script DACheck e ferramenta PsExec.
• Em um incidente , o ransomware foi implantado após uma infecção média de duas semanas do trojan Trickbot.

A história de fundo

• Surgido pela primeira vez em agosto de 2018, acredita-se que o sofisticado ransomware seja a criação do “Wizard Spider”, um grupo cibercriminoso com sede na Rússia.
• Ryuk é baseado no ransomware Hermes, que foi usado pelo grupo norte-coreano Lazarus contra o Taiwanese Far Eastern International Bank (FEIB) em outubro de 2017.
• Os especialistas acreditam que o grupo russo comprou o código-fonte da Hermes da dark web e o atualizou com uma nova versão chamada “Ryuk”.

Principais conclusões

Os atores do ransomware visam especificamente as organizações capazes de pagar um resgate mais alto. Para mitigar a ameaça, as organizações devem fornecer treinamento aos seus funcionários para identificar esses emails de phishing com malware, corrigir sistemas vulneráveis, desabilitar macros, segmentar o acesso a arquivos, fazer backups regularmente e usar uma solução anti-malware confiável.

Fonte: https://cyware.com/news/taking-a-look-into-conti-that-just-launched-its-data-leak-site-d6fb421d