Απογοητευμένες πληροφορίες Conti Ransomware Affiliate Leaks Info on Gang

Σε μια τροπή σκύλου που τρώει σκυλιά, μια θυγατρική που εργάζεται για τη συμμορία ransomware Conti έχει διαρρεύσει πληροφορίες σχετικά με τη μεθοδολογία και τις πράξεις της εγκληματικής ομάδας. Η θυγατρική ήταν προφανώς θυμωμένη επειδή η συμμορία Conti υπονόμευσε την πληρωμή του.

Η συμμορία ransomware Conti λειτουργεί χρησιμοποιώντας ένα μοντέλο ransomware-as-service-κάτι που έχει γίνει σχεδόν ο κανόνας όταν πρόκειται για μεγαλύτερες εγκληματικές οργανώσεις που ασχολούνται με ransomware. Το μοντέλο αποτελεί ένα είδος παράνομου σχεδίου κατανομής εσόδων όπου οι θυγατρικές εκτελούν τις επιθέσεις και στη συνέχεια μοιράζουν τυχόν χρήματα λύτρων που πληρώνονται με τους χάκερ που δημιούργησαν και διαχειρίζονται το ransomware και την υποδομή του.

Ένας ερευνητής ασφαλείας έπιασε την ανάρτηση που έκανε η θυμωμένη θυγατρική συμμορία Conti σε ένα υπόγειο φόρουμ. Η θυγατρική δημοσίευσε μια σημαντική πληροφόρηση σχετικά με τις επιχειρήσεις της συμμορίας και τον τρόπο λειτουργίας τους. Οι πληροφορίες που αποκαλύπτονται στην ανάρτηση περιελάμβαναν διευθύνσεις διακομιστών εντολών και ελέγχου CobaltStrike που χρησιμοποιούσε η Conti, καθώς και ένα αρχείο αρχειοθέτησης που περιέχει εκπαιδευτικό υλικό που χρησιμοποιεί η Conti για νέους συνεργάτες και άλλα διάφορα εργαλεία.

Το μερίδιο εσόδων που λαμβάνει χώρα μεταξύ του ομίλου λύτρων που λειτουργεί την υποδομή και των θυγατρικών τους μπορεί να ποικίλει, αλλά ο διαχωρισμός που λαμβάνουν οι θυγατρικές είναι συνήθως στο γήπεδο του 20 έως 30 τοις εκατό. Σε αυτή την περίπτωση, ο θυμωμένος συνεργάτης έλαβε μόνο 1.500 δολάρια και κατηγόρησε τον Conti ότι έψαχνε «κορόιδα» για να τους κάνει τη βρώμικη δουλειά χωρίς να λάβει την υποσχεθείσα περικοπή.

Με βάση τις πληροφορίες, τα εργαλεία και το εκπαιδευτικό υλικό που διέρρευσαν, ο ερευνητής Vitali Kremez έγραψε στο Twitter μερικές συμβουλές ασφαλείας σχετικά με τον τρόπο προστασίας των δικτύων από το Conti ransomware. Αυτά περιλάμβαναν συστήματα σάρωσης για "μη εξουσιοδοτημένες εγκαταστάσεις Atera Agent" και έλεγχο για επιμονή Any Desk. Το Atera ήταν ένα από τα εργαλεία που χρησιμοποιεί η Conti μαζί με τους φάρους CobaltStrike προτού προχωρήσουν στην ανάπτυξη του τελικού ωφέλιμου φορτίου του ransomware.

Ένας ξεχωριστός ερευνητής έγραψε στο Twitter ένα σύνολο IP που σχετίζονται με το Conti για να αποκλειστούν αμέσως για να βελτιωθεί η ασφάλεια. Η παρτίδα περιλάμβανε τα εξής:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Αυτές είναι οι ίδιες διευθύνσεις που εμφανίστηκαν στη διαρροή του φόρουμ όπως χρησιμοποιήθηκαν από τη συμμορία Conti.