Un affilié mécontent de Conti Ransomware fait fuiter des informations sur un gang

Dans une tournure des événements, un affilié travaillant pour le gang de ransomware Conti a divulgué des informations sur la méthodologie et les opérations du groupe criminel. L'affilié était apparemment en colère parce que le gang Conti a réduit son paiement.

Le gang des ransomwares Conti fonctionne selon un modèle de ransomware-as-service - quelque chose qui est devenu presque la norme lorsqu'il s'agit de grandes organisations criminelles qui s'occupent de ransomwares. Le modèle constitue une sorte de plan de partage des revenus illégal dans lequel les affiliés exécutent les attaques, puis partagent toute rançon payée avec les pirates informatiques qui installent et exécutent le ransomware et son infrastructure.

Un chercheur en sécurité a attrapé le message publié par l'affilié du gang Conti en colère sur un forum clandestin. L'affilié a publié un important vidage d'informations sur les opérations du gang et leur mode de fonctionnement. Les informations divulguées dans le message comprenaient les adresses des serveurs de commande et de contrôle CobaltStrike utilisés par Conti, ainsi qu'un fichier d'archive contenant des didacticiels que Conti utilise pour les nouveaux affiliés et d'autres outils assortis.

La part des revenus qui a lieu entre le groupe de rançon exploitant l'infrastructure et leurs affiliés peut varier, mais la répartition que les affiliés reçoivent est généralement de l'ordre de 20 à 30 %. Dans ce cas, l'affilié en colère n'a reçu que 1 500 $ et a accusé Conti de chercher des "suceurs" pour faire le sale boulot à leur place sans recevoir la part promise.

Sur la base des informations, des outils et du matériel de formation divulgués, le chercheur Vitali Kremez a tweeté quelques conseils de sécurité sur la façon de protéger les réseaux contre le ransomware Conti. Ceux-ci comprenaient l'analyse des systèmes pour les "installations non autorisées d'agents Atera" et la vérification de la persistance de Any Desk. Atera était l'un des outils que Conti utilisait avec les balises CobaltStrike avant de passer au déploiement de la charge utile finale du ransomware.

Un chercheur distinct a tweeté un ensemble d'adresses IP associées à Conti à bloquer immédiatement pour améliorer la sécurité. Le lot comprenait les éléments suivants :

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Ce sont les mêmes adresses qui sont apparues dans la fuite du forum que celles utilisées par le gang Conti.