Conti (ransomware)
Conti to oprogramowanie ransomware obserwowane od 2020 r., które prawdopodobnie jest dystrybuowane przez rosyjską grupę. Wiadomo, że dotyczy to wszystkich wersji systemu Microsoft Windows. Rząd Stanów Zjednoczonych zaoferował nagrodę w wysokości do 10 milionów dolarów za informacje o grupie na początku maja 2022 roku.
Szczegóły zagrożenia
Oprogramowanie wykorzystuje własną implementację AES-256 , która wykorzystuje do 32 pojedynczych wątków logicznych, dzięki czemu jest znacznie szybsze niż większość programów ransomware. Sposób dostawy nie jest jasny.
Gang stojący za Conti zarządza witryną, z której może wyciekać dokumenty skopiowane przez oprogramowanie ransomware od 2020 roku. Ten sam gang obsługuje oprogramowanie ransomware Ryuk . Grupa znana jest jako Wizard Spider i ma swoją siedzibę w Sankt Petersburgu w Rosji .
Zachowanie
Raz w systemie spróbuje usunąć kopie woluminów w tle . Spróbuje zakończyć szereg usług za pomocą Menedżera ponownego uruchomienia, aby upewnić się, że może szyfrować używane przez nie pliki. Spowoduje to wyłączenie monitorowania w czasie rzeczywistym i odinstalowanie aplikacji Windows Defender. Domyślnym zachowaniem jest szyfrowanie wszystkich plików na lokalnych i sieciowych Server Message Block , ignorowanie plików z rozszerzeniami DLL , .exe , .sys i .lnk . Może również atakować określone dyski, a także indywidualne adresy IP.
Remediacja
Według NHS Digital jedynym gwarantowanym sposobem odzyskania jest przywrócenie wszystkich plików, których dotyczy problem, z ich ostatniej kopii zapasowej.
Wycieki
Podczas rosyjskiej inwazji na Ukrainę w 2022 r . Conti Group ogłosiła swoje wsparcie dla Rosji i zagroziła zastosowaniem „środków odwetowych”, jeśli zostaną przeprowadzone cyberataki na ten kraj. W rezultacie około 60 000 wiadomości z wewnętrznych dzienników czatów wyciekło przez anonimową osobę, która wraz z kodem źródłowym i innymi plikami używanymi przez grupę wyraziła swoje poparcie dla Ukrainy.
Przecieki obejmują okres od początku 2020 r. do 27 lutego 2022 r. i obejmują ponad 60 000 wiadomości na czacie. Większość wiadomości, które wyciekły, to wiadomości bezpośrednie wysłane za pośrednictwem Jabbera . Ataki były koordynowane za pomocą Rocket.Chat. Przecieki są fragmentaryczne.
Niektóre wiadomości omawiają działania Cosy Bear w hakowaniu naukowców na COVID-19 . Kimberly Goody, dyrektor ds. analizy cyberprzestępczości w Mandiant , mówi, że w dziennikach znajdują się odniesienia do nienazwanego zewnętrznego źródła, które może być pomocne dla gangu. Wskazuje na wzmiankę w przeciekach Alei Litejnego w Sankt Petersburgu , gdzie znajdują się lokalne biura FSB , jako dowód na to, że zewnętrznym źródłem mogą być rosyjskie władze.
Poglądy wyrażane w przeciekach obejmują poparcie dla Władimira Putina , Władimira Żyrinowskiego , antysemityzm (m.in. wobec Wołodymyra Zełenskiego ). Członek znany jako Patrick powtórzył kilka fałszywych twierdzeń Putina na temat Ukrainy. Patrick mieszka w Australii i może być obywatelem Rosji.
Niektóre wiadomości pokazują obsesję na punkcie Briana Krebsa .
Wiadomości mocno używają mat . Znaleziono również wiadomości zawierające homofobię , mizoginię i odniesienia do wykorzystywania dzieci.
Członkostwo i struktura
Najstarszy członek jest znany pod pseudonimami Stern lub Demon i pełni funkcję dyrektora generalnego . Inny członek znany jako Mango pełni funkcję dyrektora generalnego i często komunikuje się ze Sternem. Mango powiedział Sternowi w jednej wiadomości, że w głównej drużynie są 62 osoby. Liczba zaangażowanych osób waha się, osiągając nawet 100. Ze względu na stałą rotację członków, grupa stale rekrutuje z legalnych stron rekrutacyjnych i stron hakerskich.
Zwykli programiści zarabiają około 1500 do 2000 dolarów miesięcznie, a członkowie negocjujący płatności okupu mogą wziąć udział w zyskach. W kwietniu 2021 r. jeden z członków twierdził, że ma anonimowego dziennikarza, który przejął 5% udziału w płatnościach za oprogramowanie ransomware, naciskając na ofiary, aby zapłaciły.
W maju 2022 roku rząd Stanów Zjednoczonych zaoferował nagrodę w wysokości do 15 milionów dolarów za informacje o grupie: 10 milionów dolarów za tożsamość lub lokalizację jej przywódców oraz 5 milionów dolarów za informacje prowadzące do aresztowania każdego, kto z nią spiskuje.
Badania
Firma VMware Carbon Black opublikowała raport techniczny dotyczący oprogramowania ransomware.