Elégedetlen Conti Ransomware Affiliate Információkat szivárogtat ki a Gang -on

A kutyaevő kutyák eseményei során a Conti ransomware bandában dolgozó leányvállalat információkat szivárogtatott ki a bűnözői csoport módszereiről és működéséről. A leányvállalat láthatóan dühös volt, mert a Conti banda aláfizette a fizetését.

A Conti ransomware banda egy ransomware-as-service modellt használ-ami szinte a normává vált, amikor a nagyobb bűnszervezetekről van szó, akik zsarolóvírusokkal foglalkoznak. A modell egyfajta illegális bevételmegosztási tervet jelent, amelyben a kapcsolt vállalkozások végrehajtják a támadásokat, majd felosztják a kifizetett váltságdíjat a hackerekkel, akik beállították és futtatták a ransomware -t és annak infrastruktúráját.

Egy biztonsági kutató elkapta a dühös Conti banda kapcsolt tagjának posztját egy underground fórumon. A leányvállalat jelentős információt tett közzé a banda működéséről és működéséről. A bejegyzésben közzétett információk közé tartoztak a Conti által használt CobaltStrike parancs- és vezérlőszerverek címei, valamint egy archív fájl, amely oktatóanyagokat tartalmaz, amelyeket a Conti új leányvállalatokhoz és egyéb eszközökhöz használ.

Az infrastruktúrát üzemeltető váltságdíjas csoport és leányvállalatai közötti bevételmegosztás változhat, de a leányvállalatok által megosztott megosztás általában a 20-30 százalékos labdát jelenti. Ebben az esetben a dühös leányvállalat csak 1500 dollárt kapott, és azzal vádolta Conti -t, hogy "balekokat" keres, akik elvégzik helyettük a piszkos munkát anélkül, hogy megkapták volna az ígért vágást.

A kiszivárgott információk, eszközök és oktatási anyagok alapján Vitali Kremez kutató tweetelt néhány biztonsági tippet a hálózatok Conti ransomware elleni védelméről. Ezek közé tartoztak az "illetéktelen Atera Agent telepítések" szkennelési rendszerei és az asztali állóképesség ellenőrzése. Az Atera volt az egyik eszköz, amelyet a Conti a CobaltStrike jelzőfények mellett használt, mielőtt továbbléptek a ransomware végső hasznos terhelésének telepítéséhez.

Egy külön kutató tweetelt a Conti -hoz társított IP -készletekről, amelyeket azonnal le kell tiltani a biztonság javítása érdekében. A tétel a következőket tartalmazta:

162,244,80,235

85.93.88.165

185.141.63.120

82.118.21.1

Ugyanazok a címek jelentek meg a fórum szivárgásában, mint a Conti banda.