Afiliado descontento de Conti Ransomware filtra información sobre pandillas

En un giro de los eventos de perro come perro, un afiliado que trabaja para la pandilla de ransomware Conti ha filtrado información sobre la metodología y las operaciones del grupo criminal. El afiliado aparentemente estaba enojado porque la pandilla Conti redujo su pago.

La banda de ransomware Conti opera utilizando un modelo de ransomware como servicio, algo que se ha convertido casi en la norma cuando se trata de organizaciones criminales más grandes que se ocupan de ransomware. El modelo constituye una especie de plan de reparto de ingresos ilegal en el que los afiliados ejecutan los ataques y luego dividen el dinero del rescate pagado con los piratas informáticos que configuran y ejecutan el ransomware y su infraestructura.

Un investigador de seguridad captó la publicación hecha por el afiliado de la pandilla Conti enojado en un foro clandestino. El afiliado publicó una información importante sobre las operaciones de la pandilla y la forma en que operan. La información divulgada en la publicación incluía direcciones de servidores de comando y control de CobaltStrike utilizados por Conti, así como un archivo de archivo que contiene materiales tutoriales que Conti usa para nuevos afiliados y otras herramientas variadas.

La participación en los ingresos que tiene lugar entre el grupo de rescate que opera la infraestructura y sus afiliados puede variar, pero la división que reciben los afiliados suele ser del 20 al 30 por ciento. En este caso, el afiliado enojado solo recibió $ 1,500 y acusó a Conti de buscar "tontos" para hacer el trabajo sucio por ellos sin recibir su parte prometida.

Sobre la base de la información, las herramientas y los materiales de formación filtrados, el investigador Vitali Kremez tuiteó un par de consejos de seguridad sobre cómo proteger las redes del ransomware Conti. Entre ellos se incluyen los sistemas de escaneo en busca de "instalaciones de agentes Atera no autorizadas" y la verificación de la persistencia de Any Desk. Atera fue una de las herramientas que Conti usa junto con las balizas CobaltStrike antes de que avancen para implementar la carga útil final del ransomware.

Otro investigador tuiteó un conjunto de direcciones IP asociadas con Conti para que se bloqueen de inmediato para mejorar la seguridad. El lote incluía lo siguiente:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Esas son las mismas direcciones que aparecieron en la filtración del foro y que fueron utilizadas por la pandilla Conti.