Misfornøjede Conti Ransomware Affiliate Lækager Info om Gang

I en hund, der spiser hundehændelser, har en tilknyttet virksomhed, der arbejder for banden Conti ransomware, lækket oplysninger om den kriminelle gruppes metode og operationer. Tilknyttet var tilsyneladende vred, fordi Conti -banden underbød hans betaling.

Conti ransomware banden opererer ved hjælp af en ransomware-as-service model-noget der næsten er blevet normen, når det kommer til større kriminelle organisationer, der beskæftiger sig med ransomware. Modellen udgør en slags ulovlig indtægtsdelingsplan, hvor datterselskaberne udfører angrebene og derefter opdeler eventuelle løsesumspenge, der er betalt med de hackere, der opretter og driver ransomware og dens infrastruktur.

En sikkerhedsforsker fangede indlægget fra den vrede Conti -bande -tilknyttede virksomhed på et underjordisk forum. Affiliaten offentliggjorde en betydelig infodump om bandens operationer og den måde, de fungerer på. Oplysningerne i posten omfattede adresser på CobaltStrike kommando- og kontrolservere, der blev brugt af Conti, samt en arkivfil, der indeholder undervisningsmateriale, som Conti bruger til nye datterselskaber og andre assorterede værktøjer.

Den omsætningsandel, der finder sted mellem løsesumskoncernen, der driver infrastrukturen, og deres datterselskaber kan variere, men den opdeling, de tilknyttede selskaber modtager, er normalt i ballparken på 20 til 30 procent. I dette tilfælde modtog den vrede affiliate kun $ 1.500 og anklagede Conti for at lede efter "suckers" for at gøre det beskidte arbejde for dem uden at modtage deres lovede snit.

På grundlag af de oplysninger, værktøjer og træningsmaterialer, der lækket, tweetede forsker Vitali Kremez et par sikkerhedstip om, hvordan man beskytter netværk mod Conti ransomware. Disse omfattede scanningssystemer for "uautoriserede Atera Agent -installationer" og kontrol af, om der er nogen skrivebordets vedholdenhed. Atera var et af de værktøjer, som Conti bruger sammen med CobaltStrike -beacons, før de går videre med at implementere den endelige nyttelast af ransomware.

En separat forsker tweeted et sæt IP'er, der er knyttet til Conti, til at blokeres med det samme for at forbedre sikkerheden. Batchen omfattede følgende:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Det er de samme adresser, der dukkede op i forumlækagen som brugt af Conti -banden.