Analisando a “Conti” que acaba de lançar seu site de vazamento de dados
O ator de ransomware Ryuk é conhecido por seu ataque bem planejado e personalizado com base em seu alvo. No entanto, de acordo com Vitali Kremez da Advanced Intel , o trojan TrickBot não foi localizado desde julho de 2020. Em vez disso, os operadores vinculados ao TrickBot estão agora implantando o ransomware Conti.
O que aconteceu recentemente?
O grupo de ransomware Conti mudou para a tática de “extorsão dupla”, revelando um site de vazamento como parte de sua estratégia de extorsão para forçar as vítimas a pagar um resgate ou enfrentar a humilhação pública.
Um pouco de história do seu jeito
Os operadores de ransomware geralmente têm como alvo grandes entidades com altas demandas de resgate. Por exemplo, em fevereiro. 2020, a cidade de Cartersville pagou $ 380.000 aos agressores.
- Desde o início de 2020, a maioria das entidades visadas estão localizadas nos EUA, com a maioria dos setores visados sendo governo ( Port Lavaca City Hall , Delegacia de Polícia de Durham ) e manufatura ( EMCOR , EVRAZ , Electronic Warfare Associates ), o que sugere que os invasores estão interessados no governo e organizações militares.
- Outros setores-alvo variam de educação ( Distrito Escolar Independente de Gadsden , Conselho de Curadores das Escolas Públicas de Havre ), tecnologia da informação ( Finastra ) e jurídico ( Centro de Serviços Legais do Mississippi ).
Modus operandi
- Os invasores usam e-mails de phishing, links maliciosos e sites para infectar os funcionários da entidade visada com TrickBot e Emotet . Então, esse bot começa a se espalhar lateralmente dentro da rede e, finalmente, implanta o ransomware.
- O esquema de criptografia usado pela Ryuk é construído para operações de pequena escala, visando especificamente ativos e recursos cruciais, sugerindo que seus operadores o utilizem para ataques amplamente personalizados.
- Os atores usam módulos do software de emulação de ameaças Cobalt Strike, script DACheck e ferramenta PsExec.
- Em um incidente , o ransomware foi implantado após uma infecção média de duas semanas do trojan Trickbot.
A história de fundo
- Surgido pela primeira vez em agosto de 2018, acredita-se que o sofisticado ransomware seja a criação do “Wizard Spider”, um grupo cibercriminoso com sede na Rússia.
- Ryuk é baseado no ransomware Hermes, que foi usado pelo grupo norte-coreano Lazarus contra o Taiwanese Far Eastern International Bank (FEIB) em outubro de 2017.
- Os especialistas acreditam que o grupo russo comprou o código-fonte da Hermes da dark web e o atualizou com uma nova versão chamada “Ryuk”.
Principais conclusões
Os atores do ransomware visam especificamente as organizações capazes de pagar um resgate mais alto. Para mitigar a ameaça, as organizações devem fornecer treinamento aos seus funcionários para identificar esses emails de phishing com malware, corrigir sistemas vulneráveis, desabilitar macros, segmentar o acesso a arquivos, fazer backups regularmente e usar uma solução anti-malware confiável.
Fonte: https://cyware.com/news/taking-a-look-into-conti-that-just-launched-its-data-leak-site-d6fb421d
