CISA atualiza alerta de ransomware Conti com quase 100 nomes de domínio
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) atualizou o alerta sobre o ransomware Conti com indicadores de comprometimento (IoCs) que consistem em cerca de 100 nomes de domínio usados em operações maliciosas.
Originalmente publicado em 22 de setembro de 2021, o comunicado inclui detalhes observados pela CISA e pelo Federal Bureau of Investigation (FBI) em ataques de ransomware Conti direcionados a organizações nos EUA.
Domínios Conti IoC
Detalhes internos da operação de ransomware Conti começaram a vazar no final de fevereiro, depois que a gangue anunciou publicamente que está do lado da Rússia na invasão da Ucrânia.
O vazamento veio de um pesquisador ucraniano, que inicialmente publicou mensagens privadas trocadas pelos membros da quadrilha e depois divulgou o código-fonte do ransomware, painéis administrativos e outras ferramentas.
O cache de dados também incluía domínios usados para comprometimentos com o BazarBackdoor, o malware usado para acesso inicial a redes de alvos de alto valor.
A CISA diz que o agente de ameaças Conti atingiu mais de 1.000 organizações em todo o mundo, sendo os vetores de ataque mais prevalentes o malware TrickBot e os beacons Cobalt Strike.
A agência divulgou hoje um lote de 98 nomes de domínio que compartilham “características de registro e nomenclatura semelhantes” às usadas em ataques de ransomware Conti de grupos que distribuem o malware.
A agência observa que, embora os domínios tenham sido usados em operações maliciosas, alguns deles “podem ser abandonados ou podem compartilhar características semelhantes por coincidência”.
| Domínios | ||||
|---|---|---|---|---|
| badiwaw[.]com balacif[.]com barovur[.]com basisem[.]com bimafu[.]com bujoke[.]com buloxo[.]com bumoyez[.]com bupula[.]com cajeti[.]com cilomum[.]com codasal[.]com comecal[.]com dawasab[.]com derotin[.]com dihata[.]com dirupun[.]com dohigu[.]com dubacaj[.]com fecotis[.]com | fipoleb[.]com fofudir[.]com fulujam[.]com ganobaz[.]com gerepa[.]com gucunug[.]com guvafe[.]com hakakor[.]com hejalij[.]com hepide[.]com hesovaw[.]com hewecas[.]com hidusi[.]com hireja[.]com hoguyum[.]com jecubat[.]com jegufe[.]com joxinu[.]com kelowuh[.]com kidukes[.]com | kipitep[.]com kirute[.]com kogasiv[.]com kozoheh[.]com kuxizi[.]com kuyeguh[.]com lipozi[.]com lujecuk[.]com masaxoc[.]com mebonux[.]com mihojip[.]com modasum[.]com moduwoj[.]com movufa[.]com nagahox[.]com nawusem[.]com nerapo[.]com newiro[.]com paxobuy[.]com pazovet[.]com | pihafi[.]com pilagop[.]com pipipub[.]com pofifa[.]com radezig[.]com raferif[.]com ragojel[.]com rexagi[.]com rimurik[.]com rinutov[.]com rusoti[.]com sazoya[.]com sidevot[.]com solobiv[.]com sufebul[.]com suhuhow[.]com sujaxa[.]com tafobi[.]com tepiwo[.]com tifiru[.]com | tiyuzub[.]com tubaho[.]com vafici[.]com vegubu[.]com vigave[.]com vipeced[.]com vizosi[.]com vojefe[.]com vonavu[.]com wezeriw[.]com wideri[.]com wudepen[.]com wuluxo[.]com wuvehus[.]com wuvici[.]com wuvidi[.]com xegogiv[.]com xekezix[.]com |
A lista acima de domínios associados a ataques de ransomware Conti parece ser diferente das centenas que o pesquisador ucraniano vazou de infecções BazarBackdoor.
Apesar da atenção indesejada que a Conti recebeu recentemente devido à exposição de seus chats e ferramentas internas, a quadrilha não freou sua atividade.
Since the beginning of March, Conti listed on its website more than two dozen victims in the U.S. Canada, Germany, Switzerland, U.K., Italy, Serbia, and Saudi Arabia.
