Conti是一个勒索软件团伙,预计收入接近 2 亿美元,被认为是世界上最成功的勒索软件团伙之一。同时Conti也是近年来最为活跃和危险的勒索软件团伙之一。该组织采用勒索软件即服务 (RaaS) 的运营模式,其中核心团队管理恶意软件和Tor站点,而招募的联盟机构则执行网络漏洞和数据加密攻击。核心团队赚取赎金的20~30%,而附属公司赚取其余部分。
( 图 Conti内部培训材料 )
Akamai安全研究人员审查并分析了泄露的Conti组织的内部文档,以了解现代勒索软件组织使用的工具和技术。该分析揭示了该小组采用的具体技术和程序 (TTP)和妥协指标 (IoC)的列表,以及蓝队可以使用的潜在缓解技术。这些攻击场景是多方面的和注重细节的。他们找到了一个继续有效的公式:收获凭证、传播、重复。攻击文档显示了对“手按键盘”网络传播的强烈关注——暗示需要强有力的保护以防止横向移动,以及它在防御勒索软件方面的关键作用。这些TTP是众所周知的但非常有效的技术。这是对像孔蒂这样的攻击组织可以使用的武器库的一个发人深省的提醒,并且可能暗示其他组织经常使用的工具。研究这些 TTP可为安全团队提供有关攻击者作案手法的“内幕消息”,以便更好地防范他们。同时在文档中也强调了黑客和动手传播而不是加密,这应该促使网络防御者也关注杀伤链的这些部分,而不是关注加密阶段。
安全研究人员pancak3在Twitter上分享了一个反水的Conti加盟机构成员发布的论坛帖子,该成员公开泄露了有关勒索软件操作的信息。该信息包括Cobalt Strike C2服务器的IP地址(下图,pancak3强烈建议立刻封锁图片中的IP地址)和一个113MB的档案,其中包含大量用于进行勒索软件攻击的工具和培训材料。
该成员还表示,他发布这些材料的原因是在一次攻击后的分赃中只获得了1,500美元,而团队的其他成员却将赚取数百万美元。一位威胁情报专家指出,此次泄露的攻击手册与Conti的活跃案例相符,基本可以确认是真实泄露。
此次泄密暴露出勒索软件团伙的组织成熟度,以及他们在针对全球公司发动攻击时使用的流程和经验。同时也暴露了勒索软件即服务操作的脆弱性,因为任何一个不满意的加盟成员都可能会导致攻击中使用的精心制作的培训信息和资源暴露。( 文章来源: RadeBit )
