L'affiliato di Conti ransomware scontento perde informazioni su Gang

In una svolta degli eventi cane mangia cane, un affiliato che lavora per la banda di ransomware Conti ha fatto trapelare informazioni sulla metodologia e le operazioni del gruppo criminale. L'affiliato era apparentemente arrabbiato perché la banda Conti aveva tagliato il suo pagamento.

La banda del ransomware Conti opera utilizzando un modello ransomware-as-service, qualcosa che è diventato quasi la norma quando si tratta di organizzazioni criminali più grandi che si occupano di ransomware. Il modello costituisce una sorta di piano di compartecipazione alle entrate illegale in cui gli affiliati eseguono gli attacchi e quindi dividono il denaro del riscatto pagato con gli hacker che hanno impostato e gestito il ransomware e la sua infrastruttura.

Un ricercatore di sicurezza ha catturato il post pubblicato dalla arrabbiata affiliata della banda Conti su un forum sotterraneo. L'affiliato ha pubblicato un significativo infodump sulle operazioni della banda e sul modo in cui operano. Le informazioni divulgate nel post includevano gli indirizzi dei server di comando e controllo CobaltStrike utilizzati da Conti, nonché un file di archivio che contiene materiali tutorial che Conti utilizza per i nuovi affiliati e altri strumenti assortiti.

La quota di compartecipazione alle entrate che si verifica tra il gruppo di riscatto che gestisce l'infrastruttura e i suoi affiliati può variare, ma la ripartizione che gli affiliati ricevono è solitamente compresa tra il 20 e il 30%. In questo caso, l'affiliato arrabbiato ha ricevuto solo $ 1.500 e ha accusato Conti di cercare "sfigati" per fare il lavoro sporco per loro senza ricevere il taglio promesso.

Sulla base delle informazioni, degli strumenti e dei materiali di formazione trapelati, il ricercatore Vitali Kremez ha twittato un paio di suggerimenti sulla sicurezza su come proteggere le reti dal ransomware Conti. Questi includevano sistemi di scansione per "installazioni non autorizzate di Atera Agent" e il controllo della persistenza di Any Desk. Atera era uno degli strumenti che Conti utilizza insieme ai beacon CobaltStrike prima di passare alla distribuzione del payload finale del ransomware.

Un ricercatore separato ha twittato una serie di IP associati a Conti da bloccare immediatamente per migliorare la sicurezza. Il lotto includeva quanto segue:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Questi sono gli stessi indirizzi che sono apparsi nel leak del forum utilizzati dalla banda Conti.